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Editorial der TMF 


Mit Fragen des Datenschutzes in der vernetzten biomedizinischen Forschung 
beschäftigt sich die TMF schon seit ihrer Gründung im Jahr 1999. Knapp 20 
Jahre später steht die biomedizinische Forschung in Deutschland vor zwei 
großen Herausforderungen, die auch den Hintergrund der vorliegenden Pu- 
blikation bilden: zum einen die beschleunigte Digitalisierung im Gesundheits- 
wesen, mit den daraus resultierenden Chancen und Risiken für Versorgung 
und Forschung, zum anderen die notwendige Anpassung der IT-Verfahren und 
-Infrastrukturen in der Medizin an den umfassend geänderten Rechtsrahmen 
des Datenschutzes - von der EU-Datenschutzgrundverordnung (DSGVO) bis zu 
nationalen Anpassungs- und Umsetzungsgesetzen (z.B. Bundesdatenschutz- 
gesetz!, Sozialgesetzbuch X?). 


Mit der vorliegenden Veröffentlichung im Rahmen ihrer Schriftenreihe stellt 
die TMF der Öffentlichkeit zwei diesbezüglich von ihr beauftragte Rechtsgut- 
achten zur Verfügung. Darin untersuchen auf diesem Gebiet führende juris- 
tische Experten in Deutschland, Prof. Dr. Dr. Christian Dierks und Prof. Dr. 
Alexander Roßnagel, aktuelle und komplexe Rechtsfragen zur Nutzung von 
Krankenkassen- und weiteren Gesundheitsdaten. Mit der Publikation der Er- 
gebnisse setzt die TMF ihre Tradition fort, aktuelle rechtliche Fragen aus der 
medizinischen Forschung fundiert juristisch klären und aufbereiten zu lassen. 


Anlass für die Erstellung der Gutachten war das Projekt „Smart Analysis - 
Health Research Access“ (SAHRA, 2015-2018), das vom Bundeswirtschaftsmi- 
nisterium im Rahmen des Technologieprogramms „Smart Data - Innovationen 
aus Daten“ gefördert wurde. SAHRA hatte das Ziel, eine technische Infrastruk- 
tur für die rechtskonforme Verknüpfung von Daten der gesetzlichen Kranken- 
versicherung mit weiteren Behandlungs- und Forschungsdaten zu schaffen, 
um sie so interessierten Akteuren in Forschung und Gesundheitswesen zur 
Verfügung stellen zu können. Kernanliegen des Projekts war der Aufbau einer 
Datenplattform, die unterschiedlichen Nutzern (z.B. Forschern, öffentlichen 
Einrichtungen und der Gesundheitswirtschaft) unter strengen Bedingungen 
Zugang zu den anonymen Ergebnissen von Auswertungen der Daten ermög- 
licht. Die Konsortialführung des SAHRA-Projekts lag beim Gesundheitswis- 
senschaftlichen Institut Nordost (GeWINO) der AOK Nordost; als technische 
Projektpartner waren das Hasso-Plattner-Institut (HPI) und die data experts 


1 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie 
(EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) vom 30. Juni 2017, Bundes- 
gesetzblatt Jahrgang 2017 Teil | Nr. 44. 

2 Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017, Bundesgesetz- 
blatt Jahrgang 2017 Teil I Nr. 49. 
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GmbH eingebunden. Bis zum Ende der Projektlaufzeit wurde die SAHRA-Platt- 
form für drei verschiedene Anwendungsfälle genutzt.3 


Die TMF hatte im Arbeitspaket „Datenschutz und Rechtssicherheit“ des SAH- 
RA-Projekts die Aufgabe, die vielfältigen datenschutzrechtlichen Fragen be- 
züglich einer Nutzung von Sozial- und Gesundheitsdaten zu prüfen und auf- 
zuarbeiten. Im Zuge dessen ist ein Fragenkatalog entstanden, der nicht nur 
auf die Besonderheiten einer Nutzung von Sozialdaten auf langfristig ange- 
legten Forschungsplattformen eingeht, sondern auch allgemeinere, für die 
medizinische Forschung relevante Aspekte der Auslegung der DSGVO und der 
deutschen Anpassungsgesetze beinhaltet. Einige Anregungen zur Verbesse- 
rung der Übermittlungsgrundlage von Sozialdaten für die Forschung (z.B. ge- 
regelt in s 75 Sozialgesetzbuch X) sind im Gesetzgebungsverfahren aufgegriffen 
worden und haben Eingang in die reformierte Fassung der Norm* gefunden. 


Der den Rechtsgutachten zugrunde liegende Fragenkatalog wurde seitens der 
TMF von Valerie Kempter und Dr. Johannes Drepper erarbeitet und anschlie- 
ßend mit den SAHRA-Projektpartnern sowie mit den Forschungsvertretern 
und Experten der AG Datenschutz der TMF eingehend abgestimmt. 


Das Gutachten von Rechtsanwalt Prof. Dr. Dr. Christian Dierks (Teil I) wurde 
Ende 2018 fertiggestellt und enthält letzte Anpassungen an den Gesetzentwurf 
der Bundesregierung zum 2. Datenschutzanpassungs- und Umsetzungsgesetz 
EU (2. DSAnpUG-EU5). Das Gutachten von Prof. Dr. Alexander Roßnagel (Teil 
II) berücksichtigt den Stand der Gesetzgebung bis zum 31. März 2018. 


Für das Gutachten von Prof. Dr. Dr. Dierks zum Umgang mit den Abrechnungs- 
daten gesetzlicher Krankenversicherungen wurden die drei unten zusammen- 
gefassten Szenarien entwickelt, die eine Nutzung der Daten in mehr oder 
weniger enger Kooperation mit den Kassen beschreiben. Hinsichtlich der prak- 
tischen Umsetzung einer Datennutzung mit bzw. ohne Einwilligung der be- 
troffenen Patienten war für alle drei Szenarien der jeweilige Rechtsrahmen 
zu untersuchen und detailliert zu beschreiben. 


1. Die Datennutzung erfolgt im Rahmen eines Kooperationsprojekts einer 
gesetzlichen Krankenversicherung mit einem externen Partner. Die Fra- 
gestellung für die Datenauswertung wird gemeinsam entwickelt oder 
vom externen Partner vorgegeben. Die Sozialdaten bleiben in der Ein- 
richtung der gesetzlichen Krankenversicherung und werden hier aus- 
gewertet. Lediglich anonyme Auswertungsergebnisse werden an den 
externen Partner übermittelt, es verlassen keine Sozialdaten die Einrich- 
tung der gesetzlichen Krankenversicherung. 


3 https:/www.sahra-plattform.de/ 

4 Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017, Bundesgesetz- 
blatt Jahrgang 2017 Teil | Nr. 49. 

5 Gesetzentwurf der Bundesregierung, BT Drucksache 19/4674, 1.10.2018, http://dipbt.bundestag.de/dip21/ 
btd/19/046/1904674.pdf 
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2. Auch hier kooperieren eine gesetzliche Krankenversicherung und eine 
externe Einrichtung. Die Sozialdaten werden für ein bestimmtes Vor- 
haben an die externe Einrichtung übermittelt, die diese im Sinne des 
Vorhabens verarbeitet und auswertet. 

3. In diesem Szenario werden Sozialdaten von einer oder mehreren Ein- 
richtungen der gesetzlichen Krankenversicherung für übergeordnete 
Zwecke (z.B. medizinische Forschung oder Qualitätssicherungsaspekte) 
an eine externe Einrichtung (Datenplattform) übermittelt. Die externe 
Einrichtung wiederum stellt die Sozialdaten für bestimmte Vorhaben 
Dritten zur Verfügung, entweder in Form einer weiteren Übermittlung 
oder durch die Herausgabe anonymer Auswertungsergebnisse zu kon- 
kreten Fragestellungen. 


Die deutsche Gesundheitsgesetzgebung hat sich in den letzten Jahren deutlich 
dynamisiert. Davon ist auch das hier untersuchte Regelungsgebiet der Nach- 
nutzung von Versichertendaten der GKV betroffen. Prof. Dr. Dr. Dierks wurde 
daher gebeten, seiner Analyse eine aktualisierte Bewertung des Rechtsrah- 
mens anzuhängen und Vorschläge für dessen Weiterentwicklung zu formu- 
lieren. Dieser Teil des Gutachtens kann daher auch als Argumentationshilfe 
im politischen Raum dienen, wenn es zukünftig darum geht, die datengetrie- 
bene biomedizinische Forschung in Deutschland rechtssicher und transparent 
auszugestalten. 


Im zweiten Gutachten des vorliegenden Bandes prüfte Prof. Dr. Roßnagel 
grundlegende forschungsrelevante Fragen, die sich aus der Anwendung der 
DSGVO und der daran angepassten Bundesgesetze (wie z.B. dem Bundesdaten- 
schutzgesetz) sowie weiterer gesetzlicher Neuerungen (z.B. zur ärztlichen 
Schweigepflicht) ergeben. Dabei ging es u.a. um die Abgrenzung der Begriffe 
„Pseudonymisierung“ und „Anonymisierung“ sowie um das Verhältnis der 
Löschpflicht zur Anonymisierung. Daneben thematisiert das Gutachten die 
Auslegung des Begriffs der gemäß DSGVO privilegierten „wissenschaftlichen 
Forschungszwecke“ und den Umfang ihrer Privilegierung, z.B. bezüglich Aus- 
kunftsrechte und Löschpflichten. Und schließlich geht das Gutachten von 
Prof. Dr. Roßnagel auch auf die ärztliche Schweigepflicht ein und untersucht, 
inwiefern sich die in $ 203 Strafgesetzbuch neu eingeführte „Mitwirkung“ auf 
den Forschungskontext ausdehnen lässt. 


Beide Gutachten wurden einem externen Review unterzogen, das von Rechts- 
anwalt Prof. Dr. Niko Härting (Härting Rechtsanwälte PartGmbH) unter Mit- 
wirkung von Patrick Gössling (für Teil II) bzw. Prof. Dr. Alexander Roßnagel 
(für Teil I) sowie von Mitarbeitern der TMF-Geschäftsstelle (Dr. Johannes Drep- 
per, Valerie Kempter, Sebastian Straub, Tim Schneider, Irene Schlünder), 
durchgeführt wurde. Am 16.01.2018 fand in der TMF-Geschäftsstelle zudem 
ein Workshop statt, bei dem die Fragestellungen und wesentlichen Ergebnis- 
se der Gutachten von den Autoren und Reviewern mit dem Sprecher der AG 
Datenschutz der TMF, Prof. Dr. Klaus Pommerening, und Mitarbeitern der 
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Geschäftsstelle der TMF diskutiert wurden. Workshop und Review haben subs- 
tantiell zur Abrundung der Gutachten beigetragen. 


Der Dank der TMF gilt allen, die in der einen oder anderen Form zum vorlie- 
genden Band beigetragen haben, insbesondere den beiden Gutachtern, Prof. 
Dr. Dr. Dierks und Prof. Dr. Roßnagel, für ihre sehr umfassende und syste- 
matische Arbeit. Großer Dank gebührt zudem Dr. Philipp Kircher, Dr. Sabrina 
Neuendorf, Taisija Taksijan und Dr. Christian Geminn für ihre fachliche 
Unterstützung der Gutachter. Ohne ihre Hilfe wäre die Erstellung der Gut- 
achten in der kurzen, dafür zur Verfügung stehenden Zeit nicht möglich ge- 
wesen. Den Partnern aus dem SAHRA-Projekt sowie den Mitarbeitern der 
TMF-Geschäftsstelle ist für die Entwicklung und Abstimmung des vorange- 
gangenen Pflichtenhefts sowie für die Begleitung des Projekts zu danken, 
ebenso allen Teilnehmern des Workshops für die konstruktive und detaillier- 
te Diskussion und den Review-Teams für die ausführliche und hilfreiche Kom- 
mentierung der Texte. Für die umfangreiche redaktionelle Arbeit gilt neben 
den bereits genannten Mitarbeitern der TMF-Geschäftsstelle insbesondere 
Sophie Haderer großer Dank. 


Die TMF freut sich, beide Gutachten nun im Rahmen ihrer Schriftenreihe allen 
an der datenschutzkonformen Nachnutzung von Sozial- und Gesundheits- 
daten Interessierten in Buchform zur Verfügung stellen zu können - und zwar 
nicht nur auf Papier, sondern parallel (wie die gesamte TMF-Schriftenreihe 
bei der Medizinisch Wissenschaftlichen Verlagsgesellschaft ab 2019) auch als 
open access E-Book. 


Für die TMF - Technologie- und Methodenplattform für die vernetzte medizi- 
nische Forschung e.V. (TMF) im Auftrag des Vorstands 


Sebastian Claudius Semler Prof. Dr. Michael Krawczak 
(Geschäftsführer) (Vorstandsvorsitzender) 
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RA Prof. Dr. med. Dr. iur. Christian Dierks 

Unter Mitarbeit von RA Dr. iur. Philipp Kircher, 

RAin Dr. iur. Sabrina Neuendorf und 

RAin Taisija Taksijan, LL.M., Fachanwältin für Medizinrecht 


erstellt am 23.09.2017, überarbeitet zum 19.10.2018 


1 Bewertung der Rechtslage ab 25.05.2018 


1.1 Einleitung 


Das Bundesministerium für Wirtschaft und Energie (BMWi) fördert das Pro- 
jekt „Smart Analysis - Health Research Access“ (SAHRA) der AOK Nordost. Über 
die webbasierte SAHRA-Plattform sollen Sozialdaten der AOK Nordost kombi- 
niert, referenziert und validiert und schließlich zugunsten von Wissenschaft, 
Versorgung und Industrie verwendet werden. 


Die Technologie- und Methodenplattform für die vernetzte medizinische For- 
schung e.V. (TMF) hat im Rahmen des SAHRA-Projekts im Mai 2017 den Auf- 
trag für ein Rechtsgutachten zur Nutzung von Sozial- und Gesundheitsdaten 
ausgeschrieben. 


Das vorliegende Gutachten wurde ursprünglich zum 23.09.2017 eingereicht 
und beachtete die bis dahin bekannten Reformvorhaben. Punktuelle Ände- 
rungen redaktioneller Art wurden bis 18.12.2017 vorgenommen. Vor dem Hin- 
tergrund anhaltender datenschutzrechtlicher Reformen, insbesondere in den 
für dieses Gutachten maßgeblichen fachspezifischen Bereichen der Gesetzli- 
chen Krankenversicherung, wie sie im Sozialgesetzbuch Fünftes Buch (SGB V) 
verankert sind, wurde nunmehr eine Aktualisierung bis zum 19.10.2018 vor- 
genommen. Trotz der zwischenzeitlichen Geltungserlangung der Daten- 
schutz-Grundverordnung (DSGVO) und des Inkrafttretens des neuen BDSG 
sowie des neuen Sozialdatenschutzrechts nach $ 35 SGB 11.V.m. $$ 67ff. SGB X 


| Rechtsgutachten zur Nutzung von Sozial- und Gesundheitsdaten (SAHRA-Projekt) 


sind die Reformen des SGB V zur Anpassung an die DSGVO bei Redaktions- 
schluss nicht abgeschlossen. 


Die Autoren bedauern diesen Umstand, hoffen mit der aktuellen Bearbeitung 
jedoch den Entwicklungen angemessen Rechnung tragen zu können. 


1.1.1 Problemstellung und Zielsetzung 


Forschungsprojekte, Qualitätssicherungsanalysen, Planungsvorhaben und 
sonstige statistische Auswertungen, die auf der Verarbeitung personenbezo- 
gener Daten basieren, unterliegen den Beschränkungen des Datenschutz- 
rechts. Handelt es sich bei den Datensätzen um solche, die sensible Daten, 
wie etwa Gesundheitsdaten oder Sozialdaten, umfassen, so bestehen beson- 
ders hohe Hürden. Während das Datenschutzrecht durch ein Verbot mit Zu- 
lässigkeitsvorbehalt und das Gebot der Zweckbindung die Verwendung perso- 
nenbezogener Daten auf ein unerlässliches Maß reduzieren möchte, ist For- 
schung zunehmend von der Verfügbarkeit und Validität umfassender Daten- 
bestände abhängig. Diesem Bedürfnis liegt unter anderem eine Veränderung 
methodischer Forschungsansätze zugrunde. So erfordern insbesondere explo- 
rative Datenanalysen im Bereich des sog. Big Data große Datenvorräte, die 
nicht erst nach Formulierung einer konkreten, im Rahmen eines Forschungs- 
projekts zu untersuchenden These zielgerichtet erhoben werden können. Aber 
auch im Bereich der klassischen Forschungsvorhaben wirkt das Datenschutz- 
recht als ein Hemmnis. Dieses besteht aber nicht im Wesentlichen in den An- 
forderungen zum Schutz der betroffenen Personen, sondern in der Inkompa- 
tibilität paralleler Datenschutzgesetze auf Bundes- und Landesebene und der 
sektoralen Begrenzung bereichsspezifischen Datenschutzrechts. 


Mit der Datenschutz-Grundverordnung (DSGVO)' war eine weitgehende Voll- 
harmonisierung des Datenschutzrechts in der Europäischen Union beabsich- 
tigt. Im Verordnungstext sowie in den Erwägungsgründen ist ein forschungs- 
freundlicheres Grundverständnis angelegt. Gleichzeitig beinhaltet die DSGVO 
Öffnungsklauseln, die sowohl hinsichtlich ihrer Zahl als auch ihres Umfangs 
weitgehende Regelungen durch die Mitgliedsstaaten ermöglichen oder 
erfordern, ohne dabei von den wesentlichen Grundsätzen der DSGVO ab- 
zuweichen. Im Spannungsfeld der Intention der DSGVO und dem sich ab- 
zeichnenden Bestreben des Bundesgesetzgebers, das bestehende Daten- 
schutzrecht weitgehend aufrechtzuerhalten, stellt sich die Frage nach einer 
rechtssicheren Ausgestaltung vernetzter Forschung sowie nach Qualitätssi- 
cherungs- und Planungsmechanismen, wie sie mit der SAHRA-Plattform be- 
absichtigt sind. 


1 Hierzu siehe Kap. 1.1.1. 


1 Bewertung der Rechtslage ab 25.05.2018 


1.1.2 Gang der Untersuchung 


Die TMF hat als Auftraggeber des vorliegenden Gutachtens ein Pflichtenheft 
erstellt, das konkrete Fragen enthält. Das vorliegende Gutachten umfasst die 
Ausarbeitung der im Pflichtenheft als „Los 1“ zusammengefassten Kapi- 
tel I-III. „Los 2“, das Kapitel IV des Pflichtenhefts umfasst, wird anderweitig 
bearbeitet. 


Die Fragen zu Los ı beziehen sich weitgehend auf drei Sachverhaltsgestaltun- 
gen (Szenarien), anhand derer die künftige Rechtslage nach bisher bekann- 
tem Gesetzgebungsstand zur zukünftigen Rechtslage (Kapitel I) und dem ak- 
tuellen rechtlichen Status quo (Kapitel II) untersucht werden sollen. Im An- 
schluss sind Reformüberlegungen anzustellen (Kapitel III). Diese Gliederung 
weicht insofern von den Vorgaben des Pflichtenheftes ab, als die künftige 
Rechtslage nunmehr in Kapitel I und nicht in Kapitel II dargestellt werden 
soll, was der besseren Lesbarkeit geschuldet ist. Dieses Vorgehen wurde im 
Rahmen der Vorgespräche zur Vergabe des Gutachtens mit dem Auftraggeber 
abgestimmt. 


1.1.3 Stand der Gesetzgebung 


Das Gutachten wird zu einem Zeitpunkt anhaltender Reformen des Daten- 
schutzrechts erstellt. Auftraggeber und Gutachter haben sich darauf geeinigt, 
die reformierte Rechtslage bis zum 19. Oktober 2018 zu berücksichtigen, soweit 
mindestens öffentlich einsehbare Gesetzentwürfe als parlamentarische Druck- 
sachen vorliegen. Der Stand der Reformen gestaltet sich wie folgt: 


1.1.3.1. Bereits geltende Rechtslage 


Die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 
vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per- 
sonenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der 
Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“? (DSGVO) wurde am 
o4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht und trat am 
24. Mai 2016 in Kraft. Sie ist seit dem 25. Mai 2018 in allen Mitgliedsstaaten 
unmittelbar anwendbar. 


Der deutsche Bundesgesetzgeber ist in der Zwischenzeit tätig geworden und 
hat die Anpassung sowohl des allgemeinen Datenschutzrechts in Form des 
Bundesdatenschutzgesetzes (BDSG) als auch des allgemeinen Teils des bereichs- 
spezifischen Datenschutzrechts des Sozialgesetzbuchs, der als Sozialdaten- 
schutzrecht in $ 35 SGB I i.V.m. $$ 67ff. SGB X geregelt ist, vorgenommen; die 


2 Abl. L119 vom 04.05.2016, 1; korrigiert durch Abl. L 314 vom 22.11.2016, 72. 
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Änderungen sind gleichzeitig mit der Wirkungserlangung der DSGVO zum 
25.05.2018 in Kraft getreten.: 


Das BDSG a.F. ist mit dem „Gesetz zur Anpassung des Datenschutzrechts an 
die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 
(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU)“ vom 
30. Juni 2017+ von einem neuen Bundesdatenschutzgesetz (BDSG) abgelöst wor- 
den (vgl. Art. 8 DSAnpUC-EU). 


In vergleichbarer Weise ist mit dem „Gesetz zur Änderung des Bundesversor- 
gungsgesetzes und anderer Vorschriften“ vom 17. Juli 20175 auch das sog. So- 
zialdatenschutzrecht 5 35 SGB I a.F. i.V.m. Ss 67ff. SGB X a.F.) umfassend 
neu geregelt (vgl. Art. 19 und Art. 23 des Gesetzes) worden. 


Parallel zu den vorgenannten Gesetzgebungsvorhaben zur Anpassung der 
Rechtslage an die DSGVO hat der Bundestag die Änderung der Schweigepflich- 
ten von Berufsgeheimnisträgern beschlossen. Mit dem „Gesetz zur Neurege- 
lung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufs- 
ausübung schweigepflichtiger Personen“ vom 30.10.2017° wurde die Schwei- 
gepflicht aus s 203 StGB dahingehend geändert, dass die Beteiligung von 
„sonstigen Mitwirkenden“ ermöglicht wird, was insbesondere im Bereich des 
Outsourcings und der Auftrags(daten)verarbeitung neue Handlungsoptionen 
der Berufsgeheimnisträger schaffen soll. 


1.1.3.2 Ausstehende Änderungen und Gesetzesentwürfe 


Änderungen weiterer bereichsspezifischer Datenschutzgesetze stehen zum 
Zeitpunkt der Erstellung dieses Gutachtens noch aus. Es besteht daher eine 
rechtliche Ungewissheit, die mit Blick auf das vorliegende Gutachten insbe- 
sondere die datenschutzrechtlichen Regelungen des SGB V betrifft. 


1.1.3.2.1 Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz 
EU - 2. DSAnpUG-EU (Entwurf) 


Der Gesetzentwurf eines Zweiten Gesetzes zur Anpassung des Datenschutz- 
rechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 
2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 
2. DSAnpUG-EU)’ enthält umfangreiche Änderungen diverser datenschutz- 


3 Weiterhin wurde das allgemeine Landesdatenschutzrecht in den jeweiligen Landesdatenschutzgesetzen aller 

16 Bundesländer an die DS-GVO angepasst. Das bereichsspezifische Landesdatenschutzrecht ist noch nicht vollstän- 
dig überarbeitet. Landesdatenschutzrecht kann für die vorliegende Begutachtung aber außer Betracht bleiben. 
BGBl. | 2017, 2097. 

BGBl. | 2017, 2541. 

BGBl. | 2017, 3618. 

Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an 
die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpas- 
sungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU), BR-Drs. 430/18; vgl. BT-Drs. 19/4674. 
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rechtlicher Normen, insbesondere solcher des BDSG, SGB I, SGB V und SGB X. 
Zum Zeitpunkt der Begutachtung lag der Kabinettsentwurf dem Bundesrat 
zur Beratung vor und die Ausschüsse hatten bereits ihre Empfehlungen: ab- 
gegeben. Der diesbezügliche Beschluss des Bundesrates vom 19.10.2018° sieht 
keine Änderung des Entwurfs für die hier in Betracht kommenden Regelungs- 
bereiche des BDSG oder der bereichsspezifischen Normen des SGB I, SGB V oder 
SGB X vor. Der Gesetzentwurf enthält im Wesentlichen sprachliche Anpassun- 
gen an die DSGVO. Die Begriffe „erheben“, „nutzen“ und „verarbeiten“ sollen 
regelmäßig durch den umfassenderen Begriff „verarbeiten“ im Sinne der 
DSGVO ersetzt werden, ohne damit aber inhaltliche Änderungen zu veranlas- 
sen. Weiterhin sollen etwa bisher streng formulierte Schriftformerfordernis- 
se für datenschutzrechtliche Einwilligungen im SGB V dahingehend gelockert 
werden, dass auch elektronische Einwilligungen zulässig sein sollen. 


Während ṣș 67b Abs. 2 SGB X bislang lediglich eine Soll-Vorschrift beinhaltet, 
wonach zu Nachweiszwecken nach Art. 7 DSGVO eine Einwilligung in die Ver- 
arbeitung von personenbezogenen Daten schriftlich oder elektronisch erfolgen 
„soll“, dies gleichwohl keine Wirksamkeitsvoraussetzung für eine Einwilli- 
gung ist, wird nun vorgeschlagen, durch einen neuen Satz 2 zu regeln, dass 
Einwilligungen zur Verarbeitung von genetischen, biometrischen oder Ge- 
sundheitsdaten (oder Betriebs- und Geschäftsgeheimnissen) zwingend schrift- 
lich oder elektronisch zu erfolgen haben, soweit nicht wegen besonderer Um- 
stände eine andere Form angemessen ist. Aus der Begründung des Gesetzent- 
wurfs ergibt sich, dass es sich hierbei nicht nur um ein Nachweiserfordernis, 
sondern um ein Wirksamkeitserfordernis handelt: Unter Bezugnahme auf die 
Öffnungsklausel des Art. 9 Abs. 4 DSGVO wird nur für die vorgenannten Daten- 
kategorien eine strengere Form verlangt, was dazu dienen soll, das Schutz- 
niveau der Altregelung des $ 67b Abs. 2 S. 2 SGB X a.F. im zulässigen Umfang 
zu erhalten." Gleichzeitig sieht der Gesetzentwurf vor, dass in $ 67b Abs. 3 
SGB X für Verarbeitungen zu Forschungszwecken geregelt werden soll, dass 
ein besonderer Umstand, unter dem ein Abweichen von der vorgenannten 
Formvorgabe möglich ist, dann vorliege, wenn durch die Einholung einer 
schriftlichen oder elektronischen Einwilligung der Forschungszweck erheb- 
lich beeinträchtigt würde. Die Gründe hierfür sollen schriftlich festgehalten 
werden. Die vorgeschlagenen Regelungen sind zwar europarechtlich zulässig, 
sie führen jedoch zu zusätzlichen Hindernissen und ggf. zu weiterem Begrün- 
dungsaufwand. Auf weitere Änderungen im SGB X wird an den entsprechen- 
den Stellen des Gutachtens hingewiesen, sofern sich hieraus nach bisheriger 
Einschätzung relevante Änderungen ergeben können. 


Die daneben bestehenden Änderungen des SGB V spielen für das vorliegen- 
de Gutachten nach bisherigem Erkenntnisstand hingegen keine Rolle. Sie 


8  BR-Drs. 430/1/18. 
9  BR-Drs. 430/18(B), Beschlussdrucksache. 
10 BT-Drs. 19/4674, S. 400. 
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betreffen etwa die Streichung der Pflicht zur Löschung von personenbezoge- 
nen Daten nach Zweckerreichung gem. $ 284 Abs. 1 S. 4 und Abs. 4S. 4 SGB V, 
die jedoch wegen der unmittelbaren Geltung von Art. 5 Abs. 1 lit. e)und Art. 17 
Abs. ı lit. a) DSGVO nicht zu einer inhaltlichen Änderung führt." Zentra- 
le forschungsrelevante Vorschriften (wie $ 287 SGB V) sollen nicht geändert 
werden. 


1.1.3.2.2 Terminservice- und Versorgungsgesetz - TSVG (Entwurf) 


Der Entwurf eines Gesetzes für schnellere Termine und bessere Versorgung 
(Terminservice- und Versorgungsgesetz -TSVG) hat am 26.09.2018 das Kabinett 
passiert und liegt zum Zeitpunkt des Redaktionsschlusses entsprechend nur 
als Kabinettsentwurf vor. Der Gesetzentwurf enthält umfangreiche Änderun- 
gen des SGB V, aber keine Anpassungen an die DSGVO. Mit dem Gesetzesvor- 
haben soll etwa das Mindestsprechstundenangebot der niedergelassenen Ärz- 
te erhöht werden. Außerdem sollen Krankenkassen nach dem Gesetzentwurf 
ihren Versicherten spätestens ab 2021 eine elektronische Patientenakte (ePA) 
zur Verfügung stellen - ein Zugriff auf die in der elektronischen Akte gespei- 
cherten medizinischen Daten soll auch mittels Smartphone oder Tablet mög- 
lich sein. Außerdem sind Änderungen im Bereich der Datenverarbeitungsbe- 
fugnisse der Krankenkassen nach s 284 SGB V und zum Umgang mit Daten zu 
Qualitätssicherungszwecken nach $ 299 SGB V vorgesehen. Diese Änderungen 
haben nach Ansicht der Gutachter aber keinen Einfluss auf die vorliegenden 
Fragestellungen. 


1.2 Darstellung des Rechtsrahmens 
1.2.1 Unionsrechtlicher Rechtsrahmen 


Der unionsrechtliche Rahmen des Datenschutzrechts gliedert sich zunächst 
in das Primärrecht, das das Verfassungsrecht der Europäischen Union bildet, 
und das Sekundärrecht, das der europäische Gesetzgeber aufgrund der ihm 
im Sinne einer begrenzten Einzelermächtigung übertragenen Gesetzgebungs- 
kompetenz selbst erlassen kann. 


1.2.2 Primärrechtlicher Rechtsrahmen (EUV, AEUV, GRCh) 


Zum europäischen Primärrecht zählen der Vertrag über die Europäische Union 
(EUV) und der Vertrag über die Arbeitsweise der Europäischen Union (AEUV).” 


11 BT-Drs. 19/4674, S. 140, 370. 
12 Vertrag über die Europäische Union (konsolidierte Fassung) und Vertrag über die Arbeitsweise der Europäischen 
Union (konsolidierte Fassung), ABl. C 326 vom 26.10.2012, 1. 
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Weiterhin ist hiervon die Charta der Grundrechte der Europäischen Union 
(GRCh) umfasst (Art. 6 Abs. 1 Hs. 2 EUV). » 


Art. 16 Abs. 2 AEUV beinhaltet eine unionsrechtliche Gesetzgebungskompe- 
tenz für das Datenschutzrecht. Aus Art. 16 Abs. 1 AEUV sowie aus Art. 8 GRCh 
folgen zudem subjektiv-öffentliche Rechte in Form eines Datenschutzgrund- 
rechts. Maßgeblich ist nach herrschender Meinung allein Art. 8 GRCh.“ Un- 
mittelbar aus Art. 8 Abs. 2 S. ı GRCh ergeben sich bereits die wesentlichen 
Erfordernisse der Verarbeitung nach „Treu und Glauben“, der Zweckbindung 
und eines Legitimationstatbestandes, welcher entweder in einer Einwilligung 
oder einer sonstigen gesetzlich geregelten legitimen Grundlage bestehen kann 
(Verbot mit Zulässigkeitsvorbehalt).’ 


1.2.3 Sekundärrechtlicher Rechtsrahmen (DSGVO) 


Sekundärrechtlich war das Datenschutzrecht bisher durch die „Richtliniezum 
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten 
und zum freien Datenverkehr“ (RL 95/46/EG), die Datenschutzrichtlinie 
(DSRL), umgesetzt. Die Handlungsform der Richtlinie war zwar hinsichtlich 
des zu erreichenden Ziels verbindlich, überließ jedoch den innerstaatlichen 
Stellen die Wahl der Form und der Mittel bei der Umsetzung, vgl. Art. 288 
Abs. 3 AEUV (ex-Art. 189 Abs. 3 EGV)”. 


Nunmehr hat sich der europäische Gesetzgeber für eine andere Handlungs- 
form entschieden. Das neue sekundärrechtliche Datenschutzrecht ist als Ver- 
ordnung im Sinne des Art. 288 Abs. 2 AEUV ausgestaltet. Die Verordnung (EU) 
2016/679 „zum Schutz natürlicher Personen bei der Verarbeitung personenbe- 
zogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtli- 
nie 95/46/EG (Datenschutz-Grundverordnung)“ (DSGVO) hat allgemeine Gel- 
tung, ist in allen ihren Teilen verbindlich und gilt in jedem Mitgliedsstaat 
unmittelbar. Als „Grund“-Verordnung regelt sie die wesentlichen Teile selbst, 
enthält allerdings eine Vielzahl von Öffnungsklauseln, die den Mitgliedsstaa- 
ten Gesetzgebungsspielräume eröffnen. Die DSGVO präsentiert sich dadurch 
als „Hybrid“ zwischen Verordnung und Richtlinie.'s 


Die Öffnungsklauseln beschränken sich dabei nicht darauf, den Mitglieds- 
staaten lediglich die optionale Möglichkeit des gesetzgeberischen Tätigwer- 
dens einzuräumen (fakultative Öffnungsklausel), sondern sehen mitunter 


13 Ruffert, in: Callies/Ruffert, EUV/AEUV, 5. Aufl., 2016, Art. 1 AEUV Rn. 8. 

14 Kingreen, in: Callies/Ruffert, EUV/AEUV, 5. Aufl., 2016, Art. 8 GRCh Rn. 3 (m.w.N.). 

15 Ein solches Verbot mit Zulässigkeitsvorbehalt (häufig als „Verbot mit Erlaubnisvorbehalt“ bezeichnet) ergibt sich 
für öffentliche Stellen bereits aus dem allgemeinen Parlamentsvorbehalt. 

16 ABI. L 281 vom 23.11.1995, S. 31. 

17 Vertrag zur Gründung der Europäischen Gemeinschaft, Abl. C 224 vom 31.08.1992, 1. 

18 Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 1. 
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Regelungsbefehle vor, mithin Verpflichtungen zum gesetzgeberischen Tätig- 
werden der Mitgliedsstaaten (obligatorische Öffnungsklausel). 


Im hier relevanten öffentlichen Bereich bestehen weitreichende Öffnungs- 
klauseln, die den Erlass von Rechtsgrundlagen und die Regelung von Einzel- 
heiten der Verarbeitung ermöglichen (vgl. Art. 6 Abs. ı UAbs. ı lit. c), e), 
Abs. 2, 3 DSGVO).” Sofern auch besondere Kategorien personenbezogener 
Daten (insb. Gesundheitsdaten) betroffen sind, sieht Art. 9 Abs. 2, 3, 4DSGVO 
besondere Öffnungsklauseln vor. Neben der Möglichkeit, die Einwilligung in 
die Verarbeitung im jeweiligen Mitgliedsstaat auszuschließen (Art. 9 Abs. 2 
lit. a)DSGVO), betreffen die Öffnungsklauseln speziell in Art. 9 Abs. 2 lit. b), 
g), h) und i), Abs. 4 DSGVO das öffentliche Gesundheitswesen sowie Art. 9 
Abs. 2 lit. j) i.V.m. Art. 89 DSGVO insb. den Bereich der wissenschaftlichen 
Forschung und damit den der medizinischen Forschung. 


Im Ergebnis besteht bei einerZusammenschau der Öffnungsklauseln ein um- 
fangreicher Gestaltungsspielraum für die Mitgliedsstaaten im Bereich der 
öffentlichen Gesundheit.” Eine strikte Trennung zwischen den Öffnungs- 
klauseln des Art. 6 und des Art. 9 DSGVO ist nicht zwingend erforderlich, da 
sie ggf. auch gemeinsam zur Anwendung gebracht werden können, sofern sie 
nichtim Widerspruch zueinanderstehen. Ein durch eine Öffnungsklausel den 
Mitgliedsstaaten überantworteter Regelungsbereich wird nicht dadurch ne- 
giert, dass er Schnittmengen mit einer weiteren Öffnungsklausel hat. Viel- 
mehr kann dies den Regelungsspielraum erweitern. 


1.2.4 Deutsches Datenschutzrecht 


Das deutsche Datenschutzrecht ist zunächst vom Fehlen einer Gesetzgebungs- 
kompetenz des Bundes geprägt. Die Regelung des Datenschutzrechts stellt 
sich vielmehr als Kompetenz kraft Sachzusammenhang oder Annexkom- 
petenz dar, sodass je nach zu Regeln der Hauptmaterie entweder der Bund 
im Falle des Eingreifens einer ausschließlichen oder konkurrierenden Gesetz- 
gebungskompetenz (Art. 71ff. GG) oder aber die Länder als grundsätzlich Ge- 
setzgebungsbefugte (Art. 70 GG) tätig werden können. Das führt zu einem 
Nebeneinander sowohl von allgemeinem Datenschutzrecht als auch von be- 
reichsspezifischem Datenschutzrecht auf Bundes- wie auf Landesebene. Hin- 
zu kommen Regelungsbefugnisse der Kirchen in ihren eigenen Angelegen- 
heiten.” 


19 Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 9ff. 

20 Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 13f. 

21 Vgl. Weichert, in: Kühling/Buchner, DS-GVO, 2017, Art. 9 Rn. 170. 

22 Hierzu vertiefend: Kircher, Der Schutz personenbezogener Gesundheitsdaten im Gesundheitswesen, 2016, 
S. 81ff. 
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1.2.4.1 Allgemeines Datenschutzrecht (BDSG; ggf. Landesdatenschutzgesetze) 


Als allgemeines Datenschutzrecht galt bisher auf Bundesebene das Bundes- 
datenschutzgesetz (BDSG a.F.). Alle 16 Bundesländer haben zusätzlich Landes- 
datenschutzgesetze erlassen. Das BDSG a.F. fand grundsätzliche Anwendung 
auf öffentliche Stellen des Bundes sowie auf nicht-öffentliche Stellen. Die 
Landesdatenschutzgesetze fanden Anwendung für die öffentlichen Stellen der 
Länder. 


Mit dem BDSG hat der Bundesgesetzgeber sich dafür entschieden, die bishe- 
rige Struktur soweit wie möglich beizubehalten. Zwar folgen die wesentlichen 
Grundsätze nunmehr unmittelbar aus der DSGVO, das BDSG bildet jedoch auch 
in Zukunft das allgemeine Datenschutzrecht auf nationaler Ebene. 


Gleiches gilt für die Landesdatenschutzgesetze; die allgemeinen Landesdaten- 
schutzgesetze wurden sämtlich an die DSGVO angepasst. 


1.2.4.2 Bereichsspezifisches Datenschutzrecht (Sozialdatenschutzrecht 
nach SGB I/X-neu, sozialrechtliches Fachrecht, 
sonstige bereichsspezifische Regelungen) 


Mit dem Sozialdatenschutzrecht nach $ 35 SGB Ia.F. i.V.m. $$ 67ff. SGB X a.F. 
hatte der Bund aufgrund seiner Gesetzgebungskompetenz aus Art. 74 Abs. ı 
Nr. 12 i.V.m. Art. 72 Abs. 1 GG eine weitere datenschutzrechtliche „Vollrege- 
lung“ als allgemeinen Teil des bereichsspezifischen Datenschutzrechts ge- 
schaffen, die durch die speziellen Regelungen der sozialrechtlichen Fachbücher, 
wie etwa den ss 284ff. SGB V, ergänzt wurde. $35 SGB Ia.F. enthielt als „Grund- 
norm des Sozialdatenschutzes“* den Anspruch, dass Sozialdaten nicht unbefugt 
von Leistungsträgern und den weiteren abschließend in s 35 Abs. 1 SGB la.F. 
genannten Stellen verarbeitet werden. Gemäß $ 35 Abs. 2 SGB Ia.F. richtete sich 
die Erhebung, Verarbeitung und Nutzung von Sozialdaten nach dem zweiten 
Kapitel des SGB X a.F. Diese ss 67ff. SGB X a.F. normierten von Begriffsdefini- 
tionen, über Zulässigkeitstatbestände, Betroffenenrechte und Sanktionen alle 
wesentlichen datenschutzrechtlichen Inhalte und bedurften keines Rückgriffs 
auf das BDSG a.F. als allgemeinen Teil des deutschen Datenschutzrechts. 


Durch das neue Sozialdatenschutzrecht nach s 35 SGB I i.V.m. ss 67ff. SGB X 
wird auch im Sozialgesetzbuch die bisherige Struktur im Wesentlichen bei- 
behalten. Auch hier gilt, dass der Bundesgesetzgeber lediglich solche Ände- 
rungen vorgenommen hat, die sich nach seiner Einschätzung als notwendig 
erwiesen, um dem unmittelbaren Geltungsanspruch der DSGVO gerecht zu 
werden. Die gewachsenen Strukturen des Sozialdatenschutzrechts sollten aber 
möglichst weitgehend beibehalten werden. Eine Zusammenschau des neuen 


23 Dix, in: Simitis (Hrsg.), BDSG, 8. Aufl., 2014, $ 1 Rn. 160. 
24 Binne, NZS 1995, 97 (100); BT-Dr. 8/4022, S. 80. 
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Sozialdatenschutzrechts zeigt, dass nahezu alle Normen geändert wurden, 
wobei ein großer Teil der Änderungen redaktioneller Art ist und beispielswei- 
se eine Anpassung an die neuen Begriffsdefinitionen des Art. 4 DSGVO, be- 
inhaltet. Unmittelbar aus den Änderungen des SGB, aber auch mittelbar aus 
der geänderten sekundärrechtlichen Gewährleistung der DSGVO, folgen ins- 
gesamtinhaltliche Änderungen, wobei die wesentlichen Strukturen innerhalb 
des SGB aufrechterhalten bleiben. 


Ausdrücklich normiert hat der Gesetzgeber in $ 35 Abs. 2SatzıSGB I nunmehr, 
dass die „Bücher des Sozialgesetzbuchs“ die „Verarbeitung von Sozialdaten 
abschließend“ regeln, soweit nicht die DSGVO unmittelbar gilt. Damit wird 
klargestellt, dass die DSGVO zwar unmittelbar Geltung erlangt, dort aber wo 
der deutsche Bundesgesetzgeber auf eine Öffnungsklausel zurückgreifen kann 
und dies auch getan hat, die Regelungen des Sozialdatenschutzrechts abschlie- 
ßend gelten sollen. Weiterhin wird durch die Klarstellung Bezug auf die Re- 
gelung des $s1 Abs. 2 S. 2BDSG genommen, wonach ein Rückgriff auf das BDSG 
als allgemeines deutsches Bundesdatenschutzrecht nur möglich ist, sofern 
eine spezielle bundesrechtliche Vorschrift nicht abschließend regelt. Es gilt 
also neben der DSGVO ausschließlich das Sozialgesetzbuch für die Verarbei- 
tung von Sozialdaten. Der Anspruch des SGB, die Sozialversicherung als Voll- 
regelung umfassend zu regeln, wird nurinsoweit eingeschränkt, als der euro- 
parechtliche Anwendungsvorrang der DSGVO dies erfordert. 


Aus der Gesetzesbegründung zur Änderung des SGB I und SGB X wird deutlich, 
dass die Bundesregierung die neuen Bestimmungen sämtlich auf die Öff- 
nungsklauseln der Art. 6 Abs. 2 und 3 sowie Art. 9 Abs. 2 DSGVO stützt. Art. 6 
Abs. 2 DSGVO eröffnet den Mitgliedsstaaten den größten Spielraum. Er ist 
dann einschlägig, wenn die Verarbeitung gemäß Art. 6 Abs. ı lit. e) DSGVO 
für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen In- 
teresse liegt, oder die in Ausübung öffentlicher Gewalt erfolgt. Die Öffnungs- 
klausel ermöglicht damit den Erlass oder die Beibehaltung von Regelungen 
im Bereich der sozialen Sicherheit sowohl für Behörden, für die dies eine Auf- 
gabe in Ausübung öffentlicher Gewalt darstellt, sowie für Private, dieeineim 
öffentlichen Interesse liegende Aufgabe wahrnehmen. Werden besondere Ka- 
tegorien personenbezogener Daten - beispielsweise Gesundheitsdaten - ver- 
arbeitet, sind die Öffnungsklauseln des Art. 9 Abs. 2 lit. b), g), h)und i)DSGVO 
zu beachten. Ein vollständiges systematisches Regelungsregime im Bereich 
der sozialen Sicherheit ist daher auf Art. 6 Abs. 2 DSGVO zu stützen. Diese 
Öffnungsklausel hat sich insbesondere Deutschland im Rat erkämpft, um 
eigene gewachsene Systeme beibehalten zu können, die den spezifischen hie- 
sigen Eigenheiten im öffentlichen Bereich Rechnung tragen. Damit bleibt es 
bei einem geschlossenen System des Sozialdatenschutzes. 


25 Vgl. BT-Drs. 18/12611, S. 104f. 
26 So auch Hoidn, in: Roßnagel (Hrsg.), Das neue Datenschutzrecht, 2018, S. 294f. 
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Regelungen der DSGVO, die unmittelbar Anwendung finden, sind beispiels- 
weise die Grundprinzipien der Datenverarbeitung” oder die grundlegenden 
Prinzipien der Datensicherheit sowie die Pflicht des Verantwortlichen zur 
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die „Selbstregulierung“ 
mittels Verhaltensregeln nach Art. 40, 41 DSGVO und Zertifizierungen nach 
Art. 42, 43 DSGVO.* 


An dieser Stelle sei allerdings darauf hingewiesen, dass mit dem neu einge- 
führten s 35 Abs. 6 SGB I der persönliche Anwendungsbereich des Sozialdaten- 
schutzrechts im Vergleich zur alten Fassung so verstanden werden könnte, 
dass er auf solche Stellen ausgeweitet wurde, die nicht bereits in s 35 Abs. ı 
SGB I genannt sind. So heißt es in $ 35 Abs. 6 Satzı SGB I: 


„Die Absätze ı bis 5 finden neben den in Absatz ı genannten Stellen auch Anwen- 
dung auf solche Verantwortliche oder deren Auftragsverarbeiter, 


1. die Sozialdaten im Inland verarbeiten, sofern die Verarbeitung nicht im Rahmen 
einer Niederlassung in einem anderen Mitgliedstaat der Europäischen Union oder in 
einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschafts- 
raum erfolgt, oder 


2. die Sozialdaten im Rahmen der Tätigkeiten einer inländischen Niederlassung ver- 
arbeiten.“ [Hervorhebung nicht im Original] 


In Zusammenschau mit der Begriffsdefinition des $ 67 Abs. 2 S. 1 SGB X könn- 
te sich ein Zirkelschluss ergeben, der nur schwer auflösbar scheint. $ 67 Abs. 2 
S. 1 SGB X lautet: 


„Sozialdaten sind personenbezogene Daten (Artikel 4 Nummer 1 der Verordnung [EU] 
2016/679), die von einer in $ 35 des Ersten Buches genannten Stelle im Hinblick auf 
ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.“ [Hervorhebung nicht im 
Original] 


Entweder liefe $ 35 Abs. 6 SGB I leer, weil die nicht explizit in Absatz ı des $ 35 
SGB I genannten Stellen gemäß der Definition des $ 67 Abs. 2 SGB X keine So- 
zialdaten verarbeiten können, oder aber Absatz 6 ist geeignet, die Anwendbar- 
keit des Sozialdatenschutzrechts nahezu unbegrenzt auszuweiten. Letzteres 
wäre etwa dann der Fall, wenn man nunmehr davon ausgehen müsste, dass 
eine Transformation eines personenbezogenen Datums in ein Sozialdatum 
zukünftig irreversibel ist. Jedes Sozialdatum würde bei einer weiteren Ver- 
arbeitung - und nicht nur bei einer zweckgebundenen Weiterverarbeitung 
nach einer Übermittlung durch eine in $ 35 Abs. 1 SGB I genannte Stelle - im- 
mer dem Sozialdatenschutzrecht unterliegen, womit die Bestimmung des 


27 Hierzu s. Kap. 1.3. 
28 Vgl. Bieresborn, NZS 2017, 887 (889). 
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einschlägigen Datenschutzrechts nicht mehr an der verantwortlichen Stelle 
ansetzen würde, sondern am Charakter des Datums. Das wäre hochproblema- 
tisch, da einem Datum seine Herkunft in aller Regel nicht anzusehen ist. Aus 
den Gesetzgebungsunterlagen ergibt sich lediglich ein Hinweis auf $ 78 Abs. ı 
S. 2 (sic!) SGB X”, wonach Dritte, denen Sozialdaten übermittelt wurden, die- 
se Daten in gleichem Umfang geheim zu halten haben, wie die in $ 35 SGB I 
genannten Stellen. Die Gesetzesbegründung verweist also auf einen falschen 
Satz, der seinerseits dem Wortlaut nach nur die Rechtsfolge einer Geheimhal- 
tungspflicht beinhaltet, inhaltlich aber wohl die Anwendbarkeit des Sozial- 
datenschutzrechts bedeuten könnte. Insgesamt muss hier von einer nachläs- 
sigen Gesetzgebungsarbeit ausgegangen werden, die einer Ermittlung der 
legislativen Absicht entgegensteht. Da sich aus den Gesetzgebungsmaterialien 
jedenfalls keine Absichten entnehmen lassen, den Geltungsbereich des Sozial- 
datenschutzrechts auszuweiten, ist eine restriktive Auslegung des $ 35 Abs. 6 
SGB I geboten.» 


1.2.5 Verhältnis zu Geheimnis- und Schweigepflichten (Insb. $ 203 StGB) 


Nach bisheriger Rechtslage war das Verhältnis zwischen Datenschutzrecht 
und Geheimnis- oder Schweigepflichten in $ 1 Abs. 3 S. 2 BDSG a.F. geregelt. 
Demnach blieb die Verpflichtung zur Wahrung gesetzlicher Geheimnispflich- 
ten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetz- 
lichen Vorschriften beruhen, unberührt. Mit anderen Worten waren Daten- 
schutzrecht und Geheimnispflichten parallelanzuwenden (sog. Zwei-Schran- 
ken-Prinzip). Durchbrechungen dieses Prinzips bestanden nur in wenigen 
Ausnahmefällen. 


Das BDSG enthält ebenfalls eine ausdrückliche Regelung zum Verhältnis der 
beiden Rechtsinstrumente zueinander. Gemäß $ı Abs. 2 S. 2 BDSG bleibt auch 
in Zukunft die Wahrung gesetzlicher Geheimhaltungspflichten oder von Be- 
rufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vor- 
schriften beruhen, unberührt. Zum Zweck der Klarstellung wurde eine gleich- 
lautende Regelung nunmehr auch für das Sozialdatenschutzrecht in $ 35 
Abs. 2a SGB laufgenommen. Hierbei ist darauf hinzuweisen, dass das Sozial- 
geheimnis nach $ 35 Abs. 1 S. 1 SGB I selbst keine solche Geheimhaltungspflicht 
beinhaltet, sondern lediglich einen Anspruch auf Einhaltung datenschutz- 
rechtlicher Anforderungen formuliert. Die Bezeichnung als Sozialgeheimnis 
ist daher irreführend und lediglich noch historisch zu erklären,” wenngleich 
eine Notwendigkeit zur Aufrechterhaltung dieses Instruments für die Anpas- 
sungsgesetzgebung an die DSGVO nicht mehr besteht. 


29 Gemeint war wohl $ 78 Abs. 1 S. 3 SGB X oder $ 78 Abs. 1 S. 2 SGB X a.F. 

30 Siehe hierzu auch Kapitel 1.5.4.1.2. 

31 Mrozynski, SGB |, 5. Aufl., 2014, $ 35 Rn. 9; Kircher, Der Schutz personenbezogener Gesundheitsdaten im Gesund- 
heitswesen, 2016, S. 46f., 113f. 
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Über die bloße parallele Geltung hinaus, sieht das Sozialdatenschutzecht mit- 
unter die „Verlängerung“ der ärztlichen Schweigepflicht nach $ 203 StGB vor 
und bestimmt so, dass auch Empfänger der Daten diese entsprechend geheim 
halten müssen (vgl. $ 76 Abs. 1 SGB X?). Das hat zur Folge, dass zusätzlich zur 
datenschutzrechtlichen Zulässigkeit eine Offenbarungsbefugnis nach den 
Maßstäben des Strafrechts erforderlich ist, wenn ein Empfänger die Daten 
seinerseits weitergeben möchte.» Diese Anforderung perpetuiert sich aus der 
sog. Erstübermittlung mit jeder weiteren Übermittlung. 


Am Vorrang der Geheimnispflichten ändert auch die Reform des 5 203 StGB 
nichts. Durch die nunmehr bestehende Möglichkeit, „sonstige Mitwirkende“ 
befugt an einem Geheimnis teilhaben lassen zu können, ist zwar die Möglich- 
keit geschaffen worden, externe Dienstleister beispielsweise im Rahmen eines 
Auftragsverarbeitungsverhältnisses in eine berufliche Tätigkeit einzubinden. 
Auf eine zwischenzeitlich diskutierte Lösung, datenschutzrechtliche Vorschrif- 
ten als Befugnisnorm im Sinne des 5 203 StGB auszugestalten, wurde jedoch 
verzichtet. Gleichzeitig knüpft auch der neue $ 203 StGB nicht an datenschutz- 
rechtliche Kategorien oder Instrumente, wie die Auftragsverarbeitung, an. Die 
strafrechtlichen Voraussetzungen für die Einbeziehung Mitwirkender ergeben 
sich vielmehr unmittelbar aus dem Wortlaut des nunmehr geltenden $ 203 StGB. 


Im Bereich der Heilberufe ist zu beachten, dass auch die Reform der strafrecht- 
lichen Schweigepflicht die jeweiligen Berufsordnungen unberührt lässt. Auch 
wenn also eine Offenbarung gegenüber „sonstigen Mitwirkenden“ strafrecht- 
lich befugt sein mag, so kann sie (derzeit) dennoch berufsrechtswidrig sein. 


1.3 Wesentliche Prinzipien des Datenschutzrechts 


Die DSGVO benennt in Art. 5 vorab neun allgemeine Grundsätze, die für die 
Verarbeitung personenbezogener Daten maßgeblich sind. Diese Grundsätze 
werden durch die konkreten Vorschriften der DSGVO sowie einzelner bereichs- 
spezifischer Datenschutzregelungen konkretisiert und durch weitere nicht ex- 
plizit genannte Grundsätze ergänzt. Diese nachfolgend kurz skizzierten Grund- 
sätze sind bei jeder Form der Verarbeitung personenbezogener Daten zu beach- 
ten und bei der Auslegung datenschutzrechtlicher Gesetze heranzuziehen. 


1.3.1 Rechtmäßigkeit der Verarbeitung und Verbot mit Zulässigkeitsvorbehalt 


Grundlegendes Prinzip der Verarbeitung personenbezogener Daten ist, dass 
diese aufrechtmäßige Weise erfolgen muss (Art. 5 Abs. 1 lit. a)DSGVO). Hand 


32 Gleiches galt bereits nach alter Rechtslage gem. $ 76 Abs. 1 SGB X. 
33 Vgl. Diering/Seidel, in: Diering/Timme, SGB X, 4. Aufl., 2016, $ 76 Rn. 7. 
34 Hierzu Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, 2003, S. 235ff. 
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in Hand mit diesem Prinzip geht das auch im Rahmen der DSGVO geltende 
Prinzip des Verbots mit Erlaubnisvorbehalt. Entsprechend diesen Prinzipien 
ist eine Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei 
denn die Verarbeitung ist entsprechend Art. 6 DSGVO sowie Art. 9 DSGVO 
durch einen gesetzlichen Erlaubnistatbestand oder die Einwilligung des Be- 
troffenen legitimiert. 


1.3.2 Zweckbindung 


Einen weiteren wesentlichen Pfeiler der Verarbeitung personenbezogener 
Daten bildet der Zweckbindungsgrundsatz. Gemäß Art. 5 Abs. ı lit. b) DSGVO 
dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben 
und verarbeitet werden. Demnach hat bereits im Vorfeld der Datenerhebung 
eine Zweckfestlegung zu erfolgen. Dieser festgelegte Zweck begrenzt die 
Datenverarbeitungsmöglichkeiten und bestimmt die Einzelheiten der Ver- 
arbeitung. Dabei ist zu beachten, dass der ursprünglich festgelegte Verarbei- 
tungszweck eine Verarbeitung zu anderen Zwecken nicht generell ausschließt. 
Vielmehr kann eine Datenverarbeitung auch zu anderen Zwecken erfolgen. 
Nach einer Ansicht erfordert dies, dass die Weiterverarbeitung zum Sekundär- 
zweck auf eine gesonderte Rechtsgrundlage gestützt werden kann und zudem 
mit dem ursprünglichen Zweck der Datenerhebung vereinbar ist. Nach an- 
derer Ansicht bedarf es bei Vereinbarkeit des Sekundärzwecks mit dem Primär- 
zweck keiner eigenen Rechtsgrundlage. Letzterer Ansicht ist zuzustimmen. 
Zum einen stimmt sie mit der Aussage des Erwägungsgrundes 50 überein, 
nach dessen Satz 2 für eine zweckvereinbare Weiterverwendung keine „ande- 
re gesonderte“ Rechtsgrundlage erforderlich ist. Zum anderen würde die 
Zweckvereinbarkeitsprüfung weitgehend leerlaufen, wenn es dennoch einer 
neuen Rechtsgrundlage bedürfte. 


Bei der Frage der Vereinbarkeit mit dem ursprünglichen Zweck spielen unter- 
schiedliche Faktoren eine Rolle, dieim Rahmen einer wertenden Betrachtung 
einzubeziehen sind. Neben Nähe und Kontext des neuen zum ursprünglichen 
Zweck sind auch die Art der Daten, die Folgen der Weiterverarbeitung sowie 
ein Wechsel des Verantwortlichen von entscheidender Bedeutung. Insbe- 
sondere im Bereich der Verarbeitung besonderer Kategorien personenbezoge- 
ner Daten sind der Zweckvereinbarung enge Grenzen gesetzt. Für den Be- 
reich der wissenschaftlichen Forschung stellt Art. 5 DSGVO jedoch die Vermu- 


35 Heberlein, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 5 Rn. 19f.; Herbst, in: Kühling/Buchner, DS-GVO, 2017, Art. 5 
Rn. 24ff. 

36 Frenzel, in: Paal/Pauly, DS-GVO, 2017, Art. 5 Rn. 30f.; vgl. Erw.Gr. 50 Abs. 1 S. 2. 

37 Vgl. Nebel, Erlaubnis zur Datenverarbeitung, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, 
2017, $ 3 Rn. 97. 

38 Herbst, in: Kühling/Buchner, DS-GVO, 2017, Art. 5 Rn. 44. 

39 Herbst, in: Kühling/Buchner, DS-GVO, 2017, Art. 5 Rn. 44. 
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tung auf, dass dieser neue Zweck mit dem ursprünglichen Zweck vereinbar 
ist, sofern die Verarbeitung entsprechend Art. 89 Abs. 1 DSGVO erfolgt. 


Für Sozialdaten greift $ 67c SGB X den Zweckbindungsgrundsatz aufund regelt, 
dass Sozialdaten grundsätzlich nur zur Erfüllung der gesetzlich übertragenen 
Aufgaben verarbeitet werden dürfen, sofern die Daten hierfür erforderlich 
sind und für diesen Zweck erhoben wurden. Eine Datenverarbeitung zu ande- 
ren Zwecken ist nur in engen Grenzen zulässig (vgl. z.B. $ 284 Abs. 3 SGB V, 
$ 67c Abs. 2 Nr. 2 SGB X, $ 75 SGB X). Dem Bereich der wissenschaftlichen For- 
schung kommt in diesem Zusammenhang eine gewisse Privilegierung zu (vgl. 
Erw.Gr. 33). 


1.3.3 Treu und Glauben 


Das Gebot der Verarbeitung personenbezogener Daten entsprechend Treu und 
Glauben ist der Übersetzung der DSGVO ins Deutsche geschuldet und ist we- 
niger im Sinne des in der deutschen Rechtsprechung und Literatur zu $ 242 
BGB entwickelten Verständnisses, sondern vielmehr im Sinne der Gewähr- 
leistung einer „fairen“ Verarbeitung zu verstehen.“ Im Übrigen entspricht 
dies jedoch der Terminologie des Art. 8 Abs. 2GRCh. Über diesen Auffangtat- 
bestand soll in jedem Fall ein Ausgleich der widerstreitenden Interessen der 
betroffenen Personen und der Verantwortlichen sowie die Herstellung des 
Kräftegleichgewichts möglich sein”, Dementsprechend sind in den unter- 
schiedlichen Datenverarbeitungsschritten, etwa bei der Information des Be- 
troffenen, im Rahmen der Bewertung der Freiwilligkeit der Einwilligung oder 
von Art und Umfang der Datenverarbeitung sowie der Abwägung widerstrei- 
tender Interessen oder der Festlegung von Verhaltensregeln nach Art. 40 Abs. 2 
lit. a)DSGVO die vernünftigen Erwartungen der betroffenen Person zugrunde 
zu legen (Erw.Cr. 47 S. 1, Erw.Cr. 50 S. 6). 


1.3.4 Datenminimierung (Datenvermeidung und Datensparsamkeit) 


Neben derZweckbindung gibt Art. 5 Abs. 1 lit. c) DSGVO vor, dass die Verarbei- 
tung entsprechend der Zweckbestimmung auf ein notwendiges Maß zu be- 
schränken ist. Dementsprechend darf eine Verarbeitung personenbezogener 
Daten nicht erfolgen, wenn der Zweck auch auf andere Weise, etwa auf Grund- 
lage anonymisierter Daten, zu erreichen ist”. Dieser Grundsatz wird in Art. 25 
DSGVO konkretisiert, gemäß dem geeignete technische und organisatorische 
Maßnahmen - etwa privacy by design und privacy by default - zu ergreifen 
sind. Für den Bereich der wissenschaftlichen Forschung stellt sich in diesem 


40 Heberlein, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 5 Rn. 9; Plath, in: BDSG/DSGVO, 2017, $ 5 Rn. 9. 
41 Herbst, in: Kühling/Buchner, DS-GVO, 2017, Art. 5 Rn. 17. 
42 Heberlein, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 5 Rn. 22. 
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Zusammenhang folglich regelmäßig die Frage, inwiefern die Verarbeitung 
personenbezogener Daten tatsächlich erforderlich ist oder ob nicht vielmehr 
auch die Arbeit mit anonymisierten oder zumindest pseudonymisierten Daten 
ausreicht. 


1.3.5 Transparenz 


Gemäß Art. 5 Abs. ı lit. a) DSGVO sollen personenbezogene Daten in einer für 
den Betroffenen transparenten, nachvollziehbaren Weise verarbeitet werden. 
Dies setzt voraus, dass der Betroffene umfassend über die Art und den Umfang 
der Verarbeitung, die Identität des Verantwortlichen und die Zwecke der Ver- 
arbeitung sowie über Risiken, Vorschriften, Garantien und seine Rechte im 
Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten unter- 
richtet wird (Erw.Cr. 39). Darüber hinaus sind diese Informationen dem Be- 
troffenen in klarer, leicht verständlicher Form und ohne Zugangshindernisse 
zur Verfügung zu stellen. Dieser allgemeine Transparenzgrundsatz wird durch 
die spezifischen geregelten Informationspflichten der Verantwortlichen 
(Art. 12-14 DSGVO) sowie Auskunftsrechte der Betroffenen (Art. 15 DSGVO) 
konkretisiert und durch technische Maßnahmen wie etwa datenschutzfreund- 
liche Einstellungen und Zertifizierungsverfahren flankiert. 


1.3.6 Richtigkeit der Daten 


Was im BDSG a.F. über die Rechte auf Löschung und Berichtigung personen- 
bezogener Datenverbürgt war, hat nunmehr in Art. 5 Abs. 1 lit. e)DSGVO eine 
ausdrückliche Regelung erfahren. Danach müssen personenbezogene Daten 
sachlich richtig sein und auf dem neuesten Stand gehalten werden. Die Durch- 
setzung dieses Grundsatzes ist auch nach der DSGVO durch Ansprüche auf 
Berichtigung und Löschung gewährleistet. 


1.3.7 Speicherbegrenzung 


Art. 5 Abs. ı lit. e) DSGVO bestimmt, dass die Speicherdauer auf den für die 
Zweckerfüllung zwingend erforderlichen Zeitraum zu begrenzen ist. Zwar 
bedeutet das nicht, dass die Speicherfrist kalendermäßig bestimmt sein 
muss. Jedoch muss sich die Dauer der Speicherung zumindest anhand eines 
Ereignisses oder einer Bedingung bestimmen lassen. Für Daten, die für Zwe- 
cke der wissenschaftlichen Forschung verarbeitet werden, gilt jedoch wiede- 
rum eine Ausnahme von dieser Regelung, sofern Garantien vorliegen, über 
die sichergestellt wird, dass geeignete technische und organisatorische Maß- 
nahmen bestehen, mit denen die Einhaltung der Datenverarbeitungsgrund- 
sätze gewährleistet und die Rechte und Interessen der Betroffenen geschützt 
werden. 
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1.3.8 Integrität und Vertraulichkeit 


Um die Integrität und Vertraulichkeit personenbezogener Daten zu gewähr- 
leisten, verpflichtet Art. 5 Abs. ı lit. f) DSGVO den Verantwortlichen, geeig- 
nete technische und organisatorische Maßnahmen zu treffen, die die Daten 
vor einem unautorisierten Zugriff - etwa durch Zugangs- und Zugriffskont- 
rollen - oder dem Verlust - durch entsprechende Sicherungsmaßnahmen - be- 
wahren. 


1.3.9 Rechenschaftspflicht 


Nach Art. 5 Abs. 2 DSGVO wird dem Verantwortlichen die Gesamtverantwor- 
tung für eine rechtmäßige Datenverarbeitung und die Einhaltung der übrigen 
Datenverarbeitungsgrundsätze auferlegt und darüber hinaus eine diesbezüg- 
liche Nachweispflicht geregelt. Im Rahmen dieser Gesamtverantwortung sind 
im Vorfeld der Datenverarbeitung im Einzelfall Risikoanalysen und Daten- 
schutz-Folgenabschätzungen (Art. 35 DSGVO) vorzunehmen und ein Verarbei- 
tungsverzeichnis (Art. 30 DSGVO) anzulegen. Während der Verarbeitung sind 
die Daten durch technische und organisatorische Maßnahmen (Art. 32 
DSGVO) - wie etwa Zugangs- und Zugriffskontrollen sowie Back-ups - im Rah- 
men eines umfassenden Datenschutzmanagements zu sichern. Zudem sind 
Reaktions- und Meldesystemme für Fälle von Datenschutzverletzungen (Art. 33, 
34 DSGVO) vorzusehen. All diese Maßnahmen sind in regelmäßigen Abstän- 
den auf Aktualität und Suffizienz zu überprüfen und zum Zwecke des Nach- 
weises (Art. 5Abs. 2DSGVO)zu dokumentieren. Dabei erstrecken sich die Ver- 
antwortung für die Verarbeitung und die Nachweispflicht nicht nur auf die 
Verarbeitung durch den Verantwortlichen selbst, sondern umfassen auch die 
Verarbeitung durch Auftragsverarbeiter. 


1.3.10 Direkterhebung 


Dernochin $s4 Abs. 2BDSG a.F. ausdrücklich normierte Grundsatz der Direkt- 
erhebung ist in der DSGVO nicht mehr explizit geregelt. Auch wenn es an einer 
ausdrücklichen Regelung fehlt, bleibt dieser Grundsatz im Rahmen der Daten- 
verarbeitungsgrundsätze zur Transparenz und der Datenminimierung sowie 
der Erforderlichkeit der Datenverarbeitung auch im Anwendungsbereich der 
DSGVO von Bedeutung#. Für den Bereich des Sozialdatenschutzrechts wurde 
der Grundsatz der Direkterhebung auch nach der Reform ausdrücklich in s 67a 
Abs. 2 S. 1 SGB X aufgenommen, sodass Sozialdaten nur in den gesetzlich ge- 
regelten Ausnahmefällen ($ 67a Abs. 2 S. 2 SGB X) bei Dritten erhoben werden 
dürfen. 


43 Bäcker, in: Kühling/Buchner, DS-GVO, 2017, Art. 13 Rn. 3. 
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1.3.11 Erforderlichkeit 


Auch wenn dieser Grundsatz nicht ausdrücklich in Art. 5 DSGVO genanntist, 
wird er an mehreren Stellen des Gesetzes verwendet (etwa in Art. 6 Abs. ı 
lit. b)-f) DSGVO). In Verbindung mit anderen Datenverarbeitungsgrundsät- 
zen - etwa der Datenminimierung und der Speicherbegrenzung - stellt das 
Erforderlichkeitsprinzip eine wesentliche Säule des Datenschutzes dar. Die 
Datenverarbeitung muss sich in Art und Umfang auf ein Maß beschränken, 
das zur Erreichung des Zwecks notwendig und ausreichend ist (siehe hierzu 
die Ausführungen im Gutachtenteil von Roßnagel im vorliegenden Band.).* 


1.4 Beurteilung von Szenario 1 


Im Folgenden wird auf die einzelnen Szenarien eingegangen. Entsprechend 
der Ausführungen in Kapitel 1.1.1 wird die Rechtslage nach der DSGVO sowie 
dem bislang bekannten nationalen Datenschutzrecht beurteilt. In Ermange- 
lung einer Neufassung der datenschutzrechtlichen Normen der fachspezifi- 
schen Sozialgesetzbücher (insb. SGB V) kann hier nur auf die geltende Rechts- 
lage abgestellt werden. 


1.4.1 Darstellung des Szenarios 


Die Datennutzung geschieht im Rahmen eines Kooperationsprojekts einer 
gesetzlichen Krankenkasse („Leistungsträger“ i.S.d. Sozialversicherungs- 
rechts) mit einer externen Einrichtung. Die Fragestellungen für die Datenaus- 
wertung werden gemeinsam entwickelt oder von der externen Einrichtung 
vorgegeben. Die Sozialdaten bleiben in der Einrichtung der gesetzlichen Kran- 
kenkasse und werden hier ausgewertet. Lediglich anonyme Auswertungser- 
gebnisse werden an den externen Partner übermittelt, es verlassen keine So- 
zialdaten die Einrichtung der gesetzlichen Krankenversicherung. 


1.4.2 Rechtfertigungsbedürftige Datenverarbeitungsvorgänge 


Vorab ist festzuhalten, dass die Weitergabe der anonymen Auswertungsergeb- 
nisse durch den Leistungsträger nicht rechtfertigungsbedürftig ist, denn aus 
Sicht des Empfängers werden anonyme Daten weitergegeben. Unter der Prä- 
misse, dass die Daten durch den Leistungsträger im Rahmen des 5 284 Abs. ı 
S. 1 SGB V erhoben und gespeichert wurden, sind die Erhebung und Speiche- 
rung der Daten insofern gerechtfertigt und nicht Gegenstand nachfolgender 
Prüfung. 


44 Buchner/Petri, in: Kühling/Buchner, DS-GVO, 2017, Art. 6 Rn. 15. 
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Datenschutzrechtsrelevante Datenumgänge, deren Zulässigkeit nachfolgend 
zu prüfen ist, sind somit im Szenario ı allein die Auswertungen der Daten 
durch den Leistungsträger zu Zwecken der wissenschaftlichen Forschung, der 
Planung im Sozialleistungsbereich und der Qualitätssicherung. 


1.4.3 Zulässigkeit der Datenumgänge durch den Leistungsträger 
(hinsichtlich des jeweiligen Zwecks: Wissenschaftliche Forschung, 
Planung im Sozialleistungsbereich oder Qualitätssicherung) 


Zulässig ist die Auswertung der Sozialdaten nur im Falle eines einschlägigen 
Erlaubnistatbestandes und bei Vorliegen aller seiner Voraussetzungen. Im 
Rahmen der nachfolgenden Prüfung ist angesichts der zahlreichen Verortun- 
gen von datenschutzrechtlichen Vorschriften zunächst der Prüfungsmaßstab 
unter Berücksichtigung des einschlägigen Datenschutzregimes zu klären 
(s. Kap. 1.4.3.1). Sodann ist zu untersuchen, ob bzw. welche Erlaubnistatbe- 
stände des einschlägigen Datenschutzregimes greifen (s. Kap. 1.4.3.2undKap. 
1.4.3.3). 


1.4.3.1 Prüfungsmaßstab/ldentifikation des einschlägigen Datenschutzregimes 


Die Frage, welches Datenschutzregime im Einzelnen Anwendung findet, rich- 
tet sich danach, welche Stelle für die Verarbeitung personenbezogener Daten 
verantwortlich ist. 


Im vorliegenden Szenario werden personenbezogene Daten ausschließlich von 
einer Krankenkasse verarbeitet. Krankenkassen unterliegen als Leistungsträ- 
ger im Sinne des $35 Abs. 1 SGB 1i.V.m. $ 21 Abs. 2 SGB I dem Sozialgeheimnis. 
Sie sind somit an das umfassend regelnde Sozialdatenschutzrecht nach $ 35 
SGB 1i.V.m. ss 67ff. SGB X gebunden, sofern sie personenbezogene Daten im 
Hinblick aufihre Aufgaben nach dem Sozialgesetzbuch (SGB), also Sozialdaten 
im Sinne des $ 67 Abs. 2 S. 1 SGB X, verarbeiten. Weiterhin müssen zusätzlich 
die fachspezifischen Datenschutzregelungen im SGB V (insb. ss 284ff. SGB V) 
beachtet werden. Nach dem Wortlaut des $ 35 Abs. 2 S. 1 SGB I regeln die Vor- 
schriften des Sozialdatenschutzrechts und der übrigen Bücher des SGB die 
Verarbeitung von Sozialdaten abschließend, soweit nicht die DSGVO unmit- 
telbar gilt. Das heißt, dass also zunächst die unmittelbar geltende DSGVO 
Anwendung findet; auf nationaler Ebene sind dann die datenschutzrechtli- 
chen Regelungen im SGB zu beachten. Ein Rückgriff auf das allgemeine Bun- 
desdatenschutzrecht im BDSG kommt hingegen nicht in Betracht (vgl. $ ı 
Abs. 2 S. 2 BDSG). Das BDSG kann nur dann noch Anwendung finden, wenn 
eine Norm des SGB ausdrücklich auf das BDSG verweist. Der Anspruch des 
SGB, die Verarbeitung von Sozialdaten abschließend zu regeln, gilt aber auch 


45 Vgl. BT-Drs. 18/12611, S. 96. 
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im Verhältnis zur DSGVO, wenn im Sozialdatenschutz aufgrund einer Öff- 
nungsklausel der DSGVO eine spezifische Regelung getroffen wird. 


Lediglich im Falle der Einwilligung und in Fällen der Verarbeitung zum Schutz 
lebenswichtiger Interessen kann sich die Rechtfertigung - ohne Rückgriff auf 
das Sozialgesetzbuch - unmittelbar aus Art. 9 Abs. 2 lit a) und c) DSGVO erge- 
ben. Da zur Regelung der allgemeinen Einwilligung keine Öffnungsklausel 
mehr besteht und hinsichtlich der Öffnungsklausel zum Ausschluss der Ein- 
willigung in die Verarbeitung sensibler Daten kein Gebrauch gemacht wurde, 
erscheint es folgerichtig, dass in Zukunft - abweichend von den grundsätzli- 
chen Erwägungen des BSG” - auch hinsichtlich der Möglichkeit der Einholung 
von Einwilligungserklärungen auf allgemeines Datenschutzrecht in Form der 
DSGVO zurückgegriffen werden kann. ® 


1.4.3.1.1 Verbot mit Zulässigkeitsvorbehalt 


Entsprechend Art. 6 Abs. ı sowie Art. 9 Abs. 2 DSGVO gilt der Grundsatz des 
Verbots mit Erlaubnisvorbehalt. Eine Verarbeitung personenbezogener Daten 
ist daher nur zulässig, sofern sie sich auf einen entsprechenden Erlaubnistat- 
bestand stützen kann. 


Dieser Regelungsansatz spiegelt sich im nationalen Datenschutzrecht eben- 
falls wider. Das Sozialrecht bringt die bereichsspezifische Ausprägung des 
Verbots mit Zulässigkeitsvorbehalt in $ 67b Abs. 1 S. 1, 2 SGB X und 5284. Abs. 3 
SGB V mit engeren Voraussetzungen zum Ausdruck. $ 67b Abs. 1 S. 1 SGB X 
setzt für die Zulässigkeit einer Verarbeitung das Eingreifen einer Erlaubnis- 
norm nach dem SGB voraus und wiederholt somit gewissermaßen das allge- 
meine Verbot mit Zulässigkeitsvorbehalt im Hinblick auf die Speicherung, 
Veränderung, Nutzung, Übermittlung, Finschränkung der Verarbeitung so- 
wie Löschung von Sozialdaten und begrenzt gleichzeitig die in Betracht kom- 
menden Rechtfertigungstatbestände.® Diese können sich demnach nur aus 
dem Sozialgesetzbuch ergeben. Satz 2 bezieht dies auch auf besondere Kate- 
gorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO. 


Auch die bereichsspezifische Norm des $ 284 SGB V, die die zentrale Zweckbin- 
dungsnorm für Datenumgänge bei den Krankenkassen darstellt, macht deut- 
lich, dass eine Verarbeitung von Sozialdaten nur zulässig ist, sofern dies - ab- 
gesehen von der ausdrücklichen Einwilligung des Betroffenen - durch eine 
Rechtsvorschrift des Sozialgesetzbuchs legitimiert ist. So dürfen Sozialdaten 


46 Vgl. BT-Drs. 18/12611, S. 96. 

47 BSG, Urteil vom 10.12.2008 - B 6 KA 37/07 R, juris-Rn. 35. 

48 An dieser Stelle sei darauf hingewiesen, dass mit dem Entwurf zum 2. DSAnpUG-EU bei der Verarbeitung von 
biometrischen, genetischen oder Gesundheitsdaten formelle Wirksamkeitsvoraussetzungen für Einwilligungs- 
erklärungen geschaffen werden sollen, vgl. BT-Drs. 19/4674, S. 153. Hierzu bereits oben in Kap. 1.1.3.2.1. 

49 Vgl. Bieresborn, in: von Wulffen/Schütze, SGB X, 8. Aufl., 2014, $ 67b Rn. 3; Kircher, Der Schutz personenbezoge- 
ner Gesundheitsdaten im Gesundheitswesen, 2016, S. 209. 
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gemäß 5284 Abs. 3 S. 1 Hs. ıSGB V grundsätzlich nur zu den Zwecken verarbei- 
tet werden, zu denen sie gemäß s 284 Abs. 1 SGB V erhoben wurden. Darüber 
hinaus ist eine Verarbeitung der Sozialdaten zu anderen Zwecken nur zulässig, 
sofern eine Rechtsvorschrift des Sozialgesetzbuchs dies gestattet. Damit sind 
neben den Regelungen des SGB V (z.B. $ 287 SGB V) auch solche des allgemei- 
nen Sozialdatenschutzrechts umfasst (z.B. $ 76c Abs. 2 Nr. 2 SGB X).5 Ange- 
sichts der Regelung in Art. 5 Abs. ı lit. b)2. HS DSGVO hat der Bundesgesetz- 
geber hier die Möglichkeit, das Zweckbindungsgebot zu lockern. 


1.4.3.1.2 Verhältnis von SGB V zum allgemeinen Sozialdatenschutzrecht 
(SGB I und SGB X) 


Vor dem Hintergrund der Existenz eines allgemeinen (SGB I und SGB X) und 
eines speziellen (SGB V) bereichsspezifischen Datenschutzrechts stellt sich die 
Frage, ob die spezielleren Normen aus dem bereichsspezifischen Sozialdaten- 
schutzrecht der Fachbücher des SGB (hier SGB V) eine Sperrwirkung hinsicht- 
lich des Rückgriffs auf die Regelungen im allgemeinen Sozialdatenschutzrecht 
entfalten. Eine allgemeine Sperrwirkung der zulasten der Vorschriften des 
Sozialdatenschutzrechts im SGB X kommt nicht in Betracht, da die Normen 
des SGB V nur vereinzelte Datenumgänge regeln. Eine solche Sperrwirkung 
aus den nur punktuellen Regelungen des SGB V gegenüber dem allgemeinen 
Sozialdatenschutzrecht ergibt sich im Übrigen auch nicht aus der Rechtspre- 
chung des Bundessozialgerichts vom 10.12.2008‘. Das Gericht schloss lediglich 
einen Rückgriff auf das BDSG a.F. oder Landesdatenschutzrecht aus, wäh- 
rend es die Anwendung der allgemeinen Vorschriften des bereichsspezifischen 
Datenschutzrechts nach dem SGB X a.F. durchaus erwogen hat und nur des- 
halb im konkreten Fall nicht zur Anwendung gebracht hat, da es sich bei den 
betroffenen Leistungserbringern nicht um Stellen nach $ 35 SGB I a.F. han- 
delt.» Eine Sperrwirkung infolge eines Vorrangs nach dem Grundsatz „lex 
specialis derogat legi generali“ kann sich ausschließlich für den jeweils mit 
der Norm des SGB V konkret geregelten Bereich ergeben. Im Übrigen sind die 
Normen des SGB V und des allgemeinen Sozialdatenschutzrechts gleichran- 
gig.“ 

Tatbestände des allgemeinen Sozialdatenschutzrechts nach 5 35 SGB I und 
$$ 67ff. SGB X werden durch die fachspezifischen Datenschutzregelungen des 
SGB V ergänzt und hinsichtlich des spezifischen Regelungsgegenstandes der 
jeweiligen SGB V-Norm verdrängt. 


50 Vgl. Didong/Koch, in: Schlegel/Voelzke, juris PK-SGB V, 3. Aufl. 2016, § 284 Rn. 18. 
51 BSG, Urteil vom 10.12.2008 - B 6 KA 37/07 R. 

52 BSG, Urteil vom 10.12.2008 - B 6 KA 37/07 R, juris-Rn. 33ff. 

53 BSG, Urteil vom 10.12.2008 - B 6 KA 37/07 R, juris-Rn. 23, 33, 35. 

54 BSG, Urteil vom 02.11.2010 - B 1 KR 12/10 R, juris-Rn. 18. 
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1.4.3.1.3 Art der Daten 


Die vom Leistungsträger erhobenen Abrechnungs- und Behandlungsdaten 
enthalten Informationen, die sich auf einen Versicherten und auf den jewei- 
ligen Leistungserbringer und damit auf identifizierte oder identifizierbare 
natürliche Personen beziehen. Aus den Daten mit Versichertenbezug lassen 
sich Informationen über den Gesundheitszustand des Versicherten ableiten. 
Es handelt sich damit um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO, 
die als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 
Abs. 1ıDSGVO wegen ihrer unterstellten besonderen Sensibilität nur unter er- 
höhten Voraussetzungen verarbeitet werden können. 


1.4.3.1.4 Auswertung als Datenverarbeitung 


Die Auswertung der Sozialdaten durch den Leistungsträger stellt einen Daten- 
verarbeitungsvorgang im Sinne des $ 67b SGB X dar. Hierbei ist zu berücksich- 
tigen, dass anstelle der bisher in $ 67b SGB X a.F. verwendeten Begriffe „Ver- 
arbeitung“ und „Nutzung“ (vgl. $ 67 Abs. 6, 7 SGB X a.F.) in der neuen Fassung 
von der „Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung 
der Verarbeitung und Löschung“ die Rede ist, weil „Verarbeitung“ nunmehr 
gemäß Art. 4 Nr. 2DSGVO als Oberbegriff für alle Datenumgänge umfassender 
definiert ist als: 


„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder 
jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie 
das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die An- 
passung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offen- 
legung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, 
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Ver- 
nichtung“ 


Die Auswertung der Sozialdaten durch den Leistungsträger beinhaltet insbe- 
sondere das Auslesen und Verwenden der Daten, um bestimmte Auswertungs- 
ergebnisse und Statistiken zu erzielen. Insoweit fällt die Auswertung der So- 
zialdaten jedenfalls unter den Verarbeitungsbegriff der DSGVO. 


$ 67b SCB X soll nach der Gesetzesbegründung alle Verarbeitungsvorgänge 
„außerhalb der Erhebung“ erfassen.5s Bei der Anpassung des Sozialdaten- 
schutzrechts an die DSGVO sollte der bisherige Anwendungsbereich der Er- 
mächtigungsnorm beibehalten werden.‘ Nach bisherigem Recht war in $ 67 
Abs. 7 SGB X a.F. der Begriff „Nutzung“ neben den Begriffen „Erheben“ und 
„Verarbeiten“ als Auffangtatbestand enthalten. Wurden Sozialdaten mit einer 


55 Vgl. BT-Drs. 18/12611, S. 111f. 
56 Vgl. BT-Drs. 18/12611, S. 111. 
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Zweckbestimmung ausgewertet, zusammengestellt oder auf sonstige Art zur 
Kenntnis genommen, lag ein Nutzen von Sozialdaten vor. 5 Die neue Vorschrift 
ist daher so zu verstehen, dass die Auswertung der Sozialdaten durch den Leis- 
tungsträger jedenfalls unter den Begriff der Nutzung im Sinne des $ 67b SGB X 
fällt. Dass Art. 4 Nr. 2 DSGVO den Begriff der Nutzung nicht ausdrücklich er- 
wähnt, dürfte unschädlich sein, da die dort genannten Unterfälle lediglich 
beispielhaft („wie“) sein dürften und die abweichende Begriffsnutzung im 
SGB jedenfalls dem Verarbeitungsbegriff unterfällt und daher den Anwen- 
dungsbereich der DSGVO nicht einschränkt. 


1.4.3.2 Gesetzliche Ermächtigung 
1.4.3.2.1 Nutzung zu Forschungszwecken ($ 287 SGB V) 


$ 287 SGB V erlaubt den Krankenkassen - unter Einhaltung der nachfolgend 
weiter beschriebenen Voraussetzungen - die leistungserbringer- oder fall- 
beziehbare, selbst durchgeführte Auswertung ihrer Datenbestände für zeit- 
lich befristete und im Umfang begrenzte Forschungsvorhaben. $ 287 SGB V 
lautet: 


„(1) Die Krankenkassen und die Kassenärztlichen Vereinigungen dürfen mit Erlaub- 
nis der Aufsichtsbehörde die Datenbestände leistungserbringer- oder fallbeziehbar 
für zeitlich befristete und im Umfang begrenzte Forschungsvorhaben, insbesondere 
zur Gewinnung epidemiologischer Erkenntnisse, von Erkenntnissen über Zusammen- 
hänge zwischen Erkrankungen und Arbeitsbedingungen oder von Erkenntnissen über 
örtliche Krankheitsschwerpunkte, selbst auswerten oder über die sich aus 5 304 erge- 
benden Fristen hinaus aufbewahren. 


(2) Sozialdaten sind zu anonymisieren.“ 


Forschungsvorhaben 


Unter Forschung versteht man die geistige Tätigkeit, mit dem Ziel, in metho- 
discher, systematischer und nachprüfbarer Weise neue Erkenntnisse zu ge- 
winnen.5® Sie erfasst insbesondere die Fragestellung der Methodik sowie die 
Bewertung des Forschungsergebnisses und seine Verarbeitung und bewirkt 
den Fortschritt der Wissenschaft. Wissenschaft ist wiederum jede Tätigkeit, 
die nach ihrem Inhalt und Form als ernsthafter planmäßiger Versuch zur Er- 
mittlung der Wahrheit anzusehen ist. $ 287 SGB V nennt beispielhaft und 
somit nicht abschließend als zulässige Zwecke von Forschungsvorhaben die 
Gewinnung von 


57 Vgl. Bieresborn, in: von Wulffen/Schütze, SGB X, 8. Aufl., 2014, $ 67 Rn. 29. 

58 Vgl. BT-Drs. V/4335, S. 4; Sifferdecker, in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 3 
mwN. 

59 BVerfG, Urteil vom 29.05.1973, Az.: 1 BvR 424/71. 
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= epidemiologischen Erkenntnissen, 

= Erkenntnissen über Zusammenhänge zwischen Erkrankungen und 
Arbeitsbedingungen, 

= von Erkenntnissen über örtliche Krankheitsschwerpunkte. 


Nichtmedizinische Fragestellungen 


Die Frage, ob auch nichtmedizinische Fragestellungen Gegenstand der For- 
schungsvorhaben sein können, wird unterschiedlich beantwortet. Nach Kranig 
ist dies grundsätzlich zu bejahen, falls das Forschungsvorhaben geeignet ist, 
Erkenntnisse zu gewinnen, die die Krankenkassen bei Erfüllung ihrer gesetz- 
lichen Aufgaben unterstützen. So seien Forschungen zur Wirksamkeit und 
Effizienz gesetzgeberischer Neuerungen, z.B. bei Vereinbarungen zur integ- 
rierten Versorgung ($5 140a ff. SGB V) oder bei Einführung der elektronischen 
Gesundheitskarte ($ 291a SGB V) als zulässig anzusehen. Als Forschungszweck 
kämen demnach etwa die Verbesserung der getroffenen Maßnahmen oder das 
Erkennen von Nachbesserungsbedarf durch den Gesetzgeber in Betracht. % 


Hornung verneint dagegen die Erstreckung auf nichtmedizinische Vorhaben 
mit der Begründung, dass diese nicht den verfassungsrechtlichen Rechtferti- 
gungsgrund der Vermeidung von Krankheiten erfüllen, spezielle gesetzliche 
Regeln nicht umgangen werden dürfen und der Gesetzgeber mit den genann- 
ten Beispielen eine Typisierung vorgenommen habe.“ Dieser Rechtsauffas- 
sung kann u.E. jedoch aus folgenden Gründen nicht gefolgt werden: 


Angesichts der ausdrücklich als nicht abschließend aufgezählten Regelbei- 
spiele („insbesondere“) müssen diese gerade nicht als typisierende Einschrän- 
kungen verstanden werden. Angesichts der Aufgaben der gesetzlichen Kran- 
kenversicherung sowie der Kassen(zahn)ärztlichen Vereinigungen, zu denen 
auch die Sicherstellung einer wirtschaftlichen Versorgung der Versicherten 
sowie eines effektiven Leistungsgeschehens gehören, legitimieren die Bestim- 
mungen des s 287 SGB V eine Auswertung (und längere Aufbewahrung) auch 
für nichtmedizinische Forschung. ® 


Dies gilt auch angesichts der schwierigen Abgrenzbarkeit zwischen medizini- 
schen und nichtmedizinischen Forschungszwecken in diesem Bereich, wie 
beispielsweise Politikfolgenforschung, die etwa auf Untersuchungen über 


= Veränderungen in der Inanspruchnahme von Leistungen (z.B. nach Ein- 
führung der Praxisgebühr), 

= Veränderungen in der Verordnungsweise (z.B. Wechsel zu verschrei- 
bungspflichtigen Präparaten aufgrund veränderter Erstattungsregelun- 
gen) oder 


60 Kranig, in: Hauck/Noftz, SGB V, Stand: 08/2017, $ 287 Rn. 6. 
61 Hornung, in: Hänlein/Schuler, LPK-SGB V, 5. Aufl., 2016, $ 287 Rn. 3. 
62 Schifferdecker, in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 4. 
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= Verlagerungseffekte zwischen dem stationären und ambulanten Sektor 
(z.B. nach Einführung der DRGs) 


gerichtet sind.% Es werden hierdurch einerseits Erkenntnisse über die Wirk- 
samkeit und Effizienz von Maßnahmen auf der regulatorischen, nicht-medi- 
zinischen Ebene gesammelt. Andererseits lassen sich auf Grundlage dieser 
Erkenntnis medizinisch begründete Maßnahmen zur Optimierung der medi- 
zinischen Versorgung einleiten. Dies gilt etwa auch für die sog. Wissenstrans- 
ferforschung, die sich etwa mit der Frage befasst, wie schnell und durch wel- 
che Arztgruppen neue Verfahren und Behandlungsempfehlungen aufgegriffen 
werden bzw. welche Patientengruppen diese Behandlung erhalten. %* 


Insbesondere auch angesichts der Vorgaben der DSGVO zur weiten Auslegung 
der Forschungszwecke dürften auch nichtmedizinische Forschungszwecke 
vorliegend erfasst sein, soweit Erkenntnisse zur Förderung der öffentlichen 
Gesundheit gewonnen werden sollen und sonstige Voraussetzungen für die 
Datenverarbeitung erfüllt werden. 


Interne Fragestellungen 


Fraglich ist, ob eine Grenze im Rahmen des $ 287 SGB V hinsichtlich zulässiger 
Forschungsvorhaben dort zu ziehen ist, wo die Krankenkasse die Erkenntnis- 
se, dieim Rahmen der Vorhaben gewonnen werden, nicht selbst bei Erfüllung 
ihrer gesetzlichen Aufgaben nutzen kann. Der Wortlaut der Norm erfasst zu- 
nächst nur, dass die tatsächliche Durchführung einer Auswertung durch die 
Krankenkasse selbst passieren muss, sodass jedenfalls eine Auswertung durch 
Dritte unzulässig ist. Ob die Forschungsfrage ausschließlich krankenkas- 
senintern sein muss, ergibt sich hieraus nicht. Nach Ansichten in der Litera- 
tur regelt $ 287 SGB V aber die Selbstauswertung der Daten durch die gesetz- 
lichen Krankenkassen zu internen, eigenen Forschungsvorhaben. % 


Unter anderem wird vertreten, dass Externe als wissenschaftliche Begleitung 
des (internen) Forschungsprojekts des Leistungsträgers - etwa im Rahmen der 
Auftragsverarbeitung - hinzugezogen werden. Dies erscheint jedenfalls für 
Auftragsverarbeiter konsequent, da diese dem Verantwortlichen zugerechnet 


63 Vgl. hierzu Schubert/Köster/Küpper-Nybelen/Ihle, Versorgungsforschung mit GKV-Routinedaten, Bundesgesund- 
heitsblatt 2008, 1095 (1100). 

64 Vgl. Schubert/Köster/Küpper-Nybelen/Ihle, Versorgungsforschung mit GKV-Routinedaten, Bundesgesundheits- 
blatt 2008, 1095 (1100). 

65 Michels, in: Becker/Kingreen, SGB V, 5. Aufl., 2017, $ 287 Rn. 3. 

66 Vgl. Kranig, in: Hauck/Noftz, SGB V, Stand: 08/2017, $ 287 Rn. 6; Schifferdecker, in: Kasseler Kommentar, Sozial- 
versicherungsrecht, 2017, $ 287 SGB V Rn. 4; Michels, in: Becker/Kingreen, SGB V, 5 Aufl., 2017, $ 287 Rn. 1. 

67 Auftrags(daten)verarbeitung als zulässig ansehend: Hornung, in: Hänlein/Schuler, LPK-SGB V, 5. Aufl., 2016, 
§ 287 Rn. 2.; a.A. Schifferdecker, in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 5. For- 
schungsinstitute, die von den Krankenkassen oder Kassenärztlichen Vereinigungen getragen werden, nicht als 
Dritte im Sinne der Norm ansehend: Wenner, in: Eichenhofer/Wenner, SGB V, 2013, $ 287 Rn. 4; Schifferdecker, 
in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 5. 
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werden können. Jedenfalls ist es unschädlich, dass vorliegend die konkrete 
Fragestellung für die Datenauswertung gemeinsam mit der externen Einrich- 
tung entwickelt oder von dieser vorgegeben werden soll. Hierzu führt etwa 
Didong wie folgt aus: 


„Die in § 287 SGB V vorgesehene eigene Auswertung der Datenbestände durch die 
Krankenkasse schließt eine wissenschaftliche Begleitung und Auswertung durch bei- 
gezogene Dritte nicht aus. Da der Gesetzgeber in $ 65 SGB V die wissenschaftliche 
Auswertung von Modellvorhaben nach den ss 63, 64 SGB V durch unabhängige Sach- 
verständige vorgesehen hat, ist kein Grund ersichtlich, warum im Rahmen von For- 
schungsvorhaben nach $287 SGBV die Auswertung allein durch Mitarbeiter der Kran- 
kenkassen oder Kassenärztlichen Vereinigung und nicht in Zusammenarbeit mit fach- 
kundigen Dritten erfolgen soll. Hierdurch kann auch das Ziel von Forschungsvorhaben 
besser erreicht werden.“ 


Damit spricht erst recht nichts gegen die Einschaltung von externen Dritten 
zur Definition des Forschungsvorhabens. Die Auswertung soll vorliegend al- 
lein durch die Mitarbeiter des Leistungsträgers ohne Einschaltung Dritter er- 
folgen. 


Datenbestände 


Der Leistungsträger darf gemäß $ 287 SGB V ausschließlich auf bereits vor- 
handene Datenbestände zurückgreifen. Der Zugriff ist damit auf die bereits 
zu anderen Zwecken (nach $ 284 SGB V) in zulässiger Weise erhobenen und 
gespeicherten Daten beschränkt.‘ Der Leistungsträger ist nicht befugt, dar- 
überhinausgehende Daten zum Zweck der Forschung zu erheben. $ 287 SGB V 
beschränkt die auswertbaren Daten ferner auf leistungserbringerbeziehbare 
und fallbeziehbare Daten. Leistungserbringerbeziehbar sind Daten, die den 
Leistungserbringer nicht unmittelbar erkennen lassen, aber bestimmbar ma- 
chen. Fallbeziehbar sind Daten eines Versicherten, außer den Angaben über 
persönliche oder sachliche Verhältnisse, welche die Bestimmung des Versi- 
cherten erlauben. Eine versichertenbeziehbare Auswertung für Forschungs- 
zwecke ist damit ausgeschlossen. Das bedeutet, dass nur Daten ausgewertet 
werden dürfen, die keine Rückschlüsse auf bestimmte Versicherte erlauben.” 
Es reicht nicht aus, dass die Ergebnisse der Auswertung keine Rückschlüsse 
darauf zulassen. Selbstredend ist aus der Kombination von Angaben über einen 
Leistungserbringer und einen konkreten Fall - auch wenn identifizierende 
Daten wie Name, Adresse und Versichertennummer eines Versicherten nicht 
in die Auswertung einbezogen werden - eine Bestimmung dieser Person nicht 


68 Didong, in: jurisPK-SGB V, 3. Aufl., 2016, $ 287 Rn. 8. 
69 Vgl. Didong, in: jurisPK-SGB V, 3. Aufl., 2016, $ 287 Rn. 9. 
70 Didong, in: jurisPK-SGB V, 3. Aufl., 2016, Rn. 9 m.w.N. 
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völlig ausgeschlossen. Jedenfalls aber ist es auf Basis dieser Angaben nicht 
zulässig, Versichertenprofile auszuwerten, sondern nur einzelne Behand- 
lungsfälle. 


Anonymisierung, $ 287 Abs. 2 SGB V 


Die Sozialdaten müssen daher anonymisiert werden, wie es $ 287 Abs. 2 SGB V 
fordert.” Hierdurch soll insbesondere erreicht werden, dass sie nicht mehr 
versichertenbeziehbar sind und damit keine Bestimmung eines Versicherten 
erlauben.” Der Zeitpunkt der Anonymisierung ist im Gesetz nicht bestimmt. 
Entsprechend dem Regelungszweck, bei Forschungsvorhaben nur mit anony- 
misierten Daten zu arbeiten, ist aber davon auszugehen, dass die Anonymi- 
sierung der Sozialdaten spätestens dann erfolgen muss, sobald sie zum Zwecke 
der Auswertungin das Forschungsvorhaben einbezogen werden.” 


Die Anonymisierung der Daten muss also vor der Auswertung erfolgen, die 
Daten dürfen nicht personenbezogen ausgewertet werden.” 


Auslegung des Begriffs der Anonymisierung 


Es ist angesichts der Anforderungen an eine Anonymisierung? zu berück- 
sichtigen, dass vorliegend die Auswertung der Daten durch die Stelle erfolgt, 
die diese Daten - mit Personenbezug - selbst erhoben hat. 


Eine auch nur faktische Anonymisierung der Daten durch Aufhebung des Per- 
sonenbezugs ist - selbst bei relativem Verständnis des Personenbezugs - nicht 
möglich, da der Leistungsträger in seiner Gesamtheit grundsätzlich stets Zu- 
griff auf alle seine Datenbestände hat und also die Möglichkeit einer De-An- 
onymisierung stets gegeben sein wird. D.h., wenn der Leistungsträger voll- 
ständige, personenbezogene Datensätze zu einem Zweck vorliegen hat und 
diese Daten nun zusätzlich in einen zweiten, davon getrennten Datensatz zu 
Forschungszwecken ohne identifizierende Daten speichert, den ggf. ein an- 
derer Mitarbeiter oder eine andere Abteilung bearbeitet, kann dies nach dem 
bisherigen Verständnis des Begriffs der Anonymisierung (vgl. $ 67 Abs. 8 
SGB X a.F.) nicht ausreichen, da das Wissen der gesamten verantwortlichen 
Stelle maßgeblich ist und nicht nur das einzelner Mitarbeiter. Eine Anony- 
misierung ist deswegen nur hinsichtlich solcher Daten möglich, die der Leis- 
tungsträger für die erhobenen Zwecke nicht mehr benötigt und deswegen 


71 Dieses Erfordernis könnte bereits hinsichtlich der Daten, die den Krankenkassen nach $ 295 Abs. 1b S. 1 SGB V 
übermittelt werden, aus $ 284 Abs. 3 S. 2 Hs. 2 SGB V folgen, wonach ein „Versichertenbezug vorher“ - also vor 
der zweckändernden Weiterverwendung - „zu löschen“ ist. Das betrifft Daten, die nicht über die Kassenärzt- 
lichen Vereinigungen, sondern unmittelbar von Leistungserbringern an die Krankenkassen übermittelt werden. 

72 Vgl. Kranig, in: Hauck/Noftz, SGB V, Stand: 08/2017, $ 287 Rn. 8. 

73 Leber, in: Orlowski/Rau/Schermer/Wasem/Zipperer, GKV-Kommentar, SGB V, Stand: 08/2017, $ 287 Rn. 9. 

74 Michels, in: Becker/Kingreen, SGB V, 5 Aufl., 2017, $ 287 Rn. 5. 

75 Vgl. den entsprechenden Abschnitt im Gutachtenteil von Roßnagel im vorliegenden Buch. 
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löschen kann bzw. muss. Nur wenn davon ausgegangen werden kann, dass 
das zurechenbare Wissen nicht mehr bei der jeweiligen Krankenkasse vor- 
handen ist, kann nach bisherigem Verständnis des Begriffs der Anonymisie- 
rung eine Auswertung auf Grundlage des $ 287 SGB V erfolgen. Wann eine 
solche Löschung regelmäßig durchzuführen ist, bestimmt ş 304 SGB V. Da- 
nach sind die Sozialdaten grundsätzlich zu löschen, soweit ihre Kenntnis für 
die Aufgabenerfüllung des Leistungsträgers nicht mehr erforderlich ist. Le- 
diglich eine Anonymisierung von Daten aus bereits abgeschlossenen Vorgän- 
gen und damit von „Altbeständen“ ist daher möglich. Dies eröffnet jedoch 
ausschließlich die Möglichkeit der Nutzung von Altbeständen für Forschungs- 
vorhaben, die sich auf die in Vergangenheit abgeschlossene Fälle beziehen.” 
Eine Anonymisierung der aktuellen Daten des Leistungsträgers, die laufend 
neu erhoben werden, ist angesichts der Forderung nach jedenfalls faktischer 
Anonymisierung nicht möglich. 


Aus dieser Problematik ergeben sich zwei gegenläufige Rechtsauffassungen 
über die Reichweite der Erlaubnisnorm in $ 287 SGB V: 


1. Die Erlaubnisnorm soll nur die Auswertung von Altdatenbeständen er- 
möglichen. 

2. Die Erlaubnisnorm ermöglicht auch die Auswertung nicht abgeschlos- 
sener Sachverhalte. 


Die erstgenannte Ansicht orientiert sich strikt an dem Wortlaut („Anonymi- 
sierung“) und wird etwa von Schifferdecker vertreten, der hierzu ausführt, dass 
die Forschungsvorhaben sich nur auf bereits abgeschlossene Vorgänge bezie- 
hen können.” Andere schließen sich der zweitgenannten Ansicht an und 
sehen die Auswertung aller - auch aktueller - Datenbestände als zulässig an, 
wobei - auch unter den Befürwortern dieser Ansicht - grundsätzlich Einigkeit 
insofern besteht, als auch diese Daten dem Forschungsprojekt nur in anony- 
misierter Form zugeführt werden dürfen.” 


Modifiziertes Verständnis der Anonymisierung 


Im Sinne der zweitgenannten Ansicht wird zur Ermöglichung der Auswertung 
aktueller Fälle, in denen laufend neue Daten erhoben werden, ein modifizier- 
tes Verständnis von der Anonymisierung im Sinne des $ 287 Abs. 2 SGB V ent- 
wickelt. 


Vorgeschlagen wird insbesondere ein Verschlüsselungsverfahren, bei dem die 
Verschlüsselungskennziffern den Personen, die im Forschungsvorhaben selbst 
tätig sind, nicht zur Verfügung gestellt werden dürfen. Die Daten sind dann 


76 Vgl. Kranig, in: Hauck/Noftz, SGB V, Stand: 08/2017, $ 287 Rn. 10. 
77 Schifferdecker, in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 8. 
78 Vgl. Didong, in: jurisPK-SGB V, 3. Aufl., 2016, Rn. 12. 
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aus Sicht dieser natürlichen Person - im Sinne eines relativen Personenbezugs - 
anonymisiert. Dieam Forschungsprojekt tätigen Personen dürfen hierfür kei- 
ne Zugriffsrechte auf die Kennziffer und kein rechtliches Mittel zur De-Ano- 
nymisierung haben. Hierzu führt Kranig wie folgt aus: 


„Es erscheint hingegen möglich, durch Verwendung von leistungserbringer- oder fall- 
beziehbaren Kennziffern oder mittels anderer Verschlüsselungsverfahren den Daten- 
fluss vom laufenden Behandlungsfall zum Forschungsvorhaben sicherzustellen, ohne 
dass Personen, die im Forschungsvorhaben tätig sind, den konkreten Bezug zu einem 
bestimmten Leistungserbringer oder sogar zu einem bestimmten Versicherten her- 
stellen können.” 


Mit ähnlicher Intention führt Michels in diesem Zusammenhang aus: 


„Bei der Zusammenführung unterschiedlicher Datenbestände und in Fällen der zeit- 
lich befristeten Verlaufskontrolle wäre damit eine Zusammenführung leistungser- 
bringer- o. fallbezogener Daten nur im Wege einer Pseudonymisierung (...) außerhalb 
des Forschungsvorhabens mögl.“® 


Gegen ein solches, modifiziertes Verständnis der Anonymisierung im Sinne 
des $ 287 Abs. 2 SGB V, wonach eine Pseudonymisierung genügte, argumen- 
tiert etwa Hornung wie folgt: 


„Für Forschungsvorhaben an derartigen noch nicht abgeschlossenen Fällen wird teil- 
weise eine Pseudonymisierung vorgeschlagen, z.B. durch Verschlüsselung der Ver- 
sicherungsnummer (Maaßen/Piepersberg, BArbBl Nr. 4 1989, 48; Kranig in Hauck/ 
Noftz, $ 287 Rn 11), ggf. mit Absicherung der Reindividualisierung gemäß $ 286 Abs. 3 
(s.a. Roß, 3. Auflage, Rn 4). Dies ist strikt abzulehnen (wie hier Krauskopf-Waschull, 
SozKV, 5287 Rn 20; Fischinger in Spickhoff, Medizinrecht, 5287 Rn 3; Schäfer in Berch- 
told/Huster/Rehborn, $ 287 Rn 6). Schon definitorisch ist zwischen Anonymisieren 
(567 Abs. 8 SGB X) und Pseudonymisieren (567 Abs. 8a SGB X) zu unterscheiden. Wenn 
sich der Gesetzgeber dazu entschieden hat, explizit eine der beiden Varianten zuzu- 
lassen, so kann dies nicht mit Argumenten praktischer Notwendigkeit überspielt wer- 
den (s. Hornung/Roßnagel, 395ff.).“* 


Auch Spindler verlangt eine strikte Anonymisierung und lässt eine Pseudony- 
misierung im Rahmen des $ 287 Abs. 2 SGB nicht genügen. ® 


79 Kranig, in: Hauck/Noftz, SGB V, Stand: 08/2017, $ 287 Rn. 11. 

80 Michels, in: Becker/Kingreen, SGB V, 5 Aufl., 2017, $ 287 Rn. 5. 

81 Hornung, in: Hänlein/Schuler, LPK-SGB V, 5. Aufl., 2016, $ 287 Rn. 7. 
82 Vgl. Spindler, MedR 2016, 691 (698). 
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Stellungnahme 


Ließe man eine Pseudonymisierung im Rahmen des s 287 Abs. 2 SGB V nicht 
genügen, würde die Auswertung der Daten zu Forschungszwecken hinsicht- 
lich nicht abgeschlossener Fälle und damit insbesondere hinsichtlich verlaufs- 
bezogener Untersuchungen und Langzeitstudien in der Regel ausscheiden. 
Dies wiederum widerspräche den vom Gesetzgeber genannten Beispielen, die 
gem. $ 287 Abs. 1 SGB V erfasst sein sollen. Hierzu führt Kranig aus: 


„Derartige verlaufsbezogene Forschungsvorhaben sind gerade für die beispielhaft im 
Gesetz genannten Zwecke der epidemiologischen Untersuchungen der Untersuchung 
arbeitsbedingter Erkrankungen besonders wichtig. Es kann nicht davon ausgegangen 
werden, dass der Gesetzgeber diese verlaufsbezogenen Forschungsvorhaben unter- 
binden wollte. Weder ist dies daraus zu schließen, dass nur die Auswertung (vorhan- 
dener) Datenbestände zulässig ist (vgl. Rz 7), denn dies soll nur die Datenerhebung 
eigens für Forschungsvorhaben verhindern; noch ergibt sich dies daraus, dass die For- 
schungsvorhaben zeitlich befristet sein müssen; vielmehr deutet gerade die zeitliche 
Befristung von Forschungsvorhaben darauf hin, dass diese sich nicht auf in der Ver- 
gangenheit abgeschlossene Fälle beschränken müssen. Sind mithin verlaufsbezogene 
Forschungsvorhaben grundsätzlich zulässig, so müssen sie auch - unter Wahrung der 
datenschutzrechtlichen Gesichtspunkte - sinnvoll durchführbar sein. Wenn Kramer, 
GK-SGB V, $ 287 Rz 4, im Anschluss an die Ausführungen zur Anonymisierung der 
Daten ausführt, ‚eine sinnvolle leistungserbringerbeziehbare Auswertung der Daten- 
bestände (komme) damit praktisch kaum in Betracht‘, so wird dies dem Willen des 
Gesetzgebers, interne Forschungsvorhaben der Krankenkassen und Kassen(zahnärzt- 
lichen) Vereinigung unter Wahrung des Datenschutzes zu ermöglichen, nicht ge- 
recht.“ ® 


Die Argumentation ist insofern überzeugend, als gerade die epidemiologi- 
schen Untersuchungen und solche über arbeitsbedingte Erkrankungen ver- 
laufsbezogene Forschung unter Zugriff auf die laufende leistungserbringer- 
oder fallbezogene Datenerhebung erfordern. Es geht hierbei um Untersuchun- 
gen hinsichtlich Verbreitung sowie Ursachen und Folgen von gesundheitsbe- 
zogenen Zuständen und Ereignissen in Bevölkerungen und Populationen. So 
schreiben Schubert/Köster/Küpper-Nybelen/Ihle zu Nutzungsmöglichkeiten 
der GKV-Routinedaten im Rahmen der Forschung u.a.: 


„Mithilfe von versichertenbezogenen pseudonymisierten Bestandsdaten lassen sich 
aufgrund des vorhandenen Bevölkerungsbezugs administrative Prävalenz- und 
Inzidenzschätzungen nach soziodemographischen Variablen - in der Linie nach Alter 
und Geschlecht - anhand der ambulanten und/oder stationären Diagnosen vornehmen 
und auf Vergleichspopulationen standardisieren. (...) Auf der Basis kontinuierlich 
erhobener Daten sind Fortschreibungen dieser administrativen Prävalenzen und 


83 Kranig, in: Hauck/Noftz, SGB V, Stand: 08/2017, $ 287 Rn. 11 m.w.N. 
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Inzidenzen und - bei Betrachtung mehrerer Jahre - Berechnungen des Alterseffektes 
möglich.“ 

sowie: 
„Des Weiteren sind Versorgungsmuster von Interesse, zu deren Darstellung es längs- 
schnittlich erhobener Daten über einen längeren Zeitraum bedarf (z.B. Definition und 
Beobachtung einer Kohorte von Versicherten).“>s 

und: 


„Versorgungsforschung befasst sich sowohl mit den Folgen gesetzlicher und ordnungs- 
politischer Maßnahmen für das Versorgungssystem (Stichwort: Politikfolgenfor- 
schung) als auch mit dem Transfer wissenschaftlicher Erkenntnisse in den Alltag der 
Versorgung. Hierkommt den über einen längeren Zeitraum vorliegenden Routinedaten 
ebenfalls ein hoher Stellenwert zu, da auch nach Einführung einer Maßnahme (z.B. 
DMP, DRG, Praxisgebühr, Warnhinweise für Arzneimittel, Implementierung von Leit- 
linien, Rabattverträge) Daten für einen Zeitraum oder Zeitpunkt vor der Maßnahme/ 
dem zu beobachtenden Ereignis (rückwirkend) erhoben und die Auswirkungen auf die 
Inanspruchnahme oder Art der Leistungen beschreiben und je nach Studiendesign 
auch kausal erklärt werden können.“ 


Diese Ausführungen zeigen beispielhaft, dass die Bestandsdaten des Leis- 
tungsträgers gerade auch durch den Rückgriff auf den fortwährenden Bestand 
mit jeweils neuen Daten besondere Vorteile im Rahmen von verlaufsbezogenen 
Forschungen bieten, dadurch die Gesetzgeber intendierten Langzeitbeobach- 
tungen überhaupt erst möglich sind sowie retro- und prospektive Beobach- 
tungen durchgeführt werden können. Dabei liegt der Vorteil der Daten von 
gesetzlichen Krankenkassen insbesondere auch in ihrer Vollständigkeit und 
in der fehlenden Selektion in Bezug auf etwa eine Verweigerung der Daten- 
nutzung, sodass über alle Versicherten Aussagen getroffen werden können. %7 
Hierzu Leber: 


„Eine - je nach den Besonderheiten des Forschungszwecks unter Umständen so- 
gar unverzichtbare - reversible Anonymisierung ist daher zulässig. Die Verpflich- 
tung zur Anonymisierung von Sozialdaten erschwert die Durchführung von For- 
schungsvorhaben, die behandlungsfallbezogene Verlaufsbeobachtungen über einen 


84 
85 
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Schubert/Köster/Küpper-Nybelen/Ihle, Versorgungsforschung mit GKV-Routinedaten, Bundesgesundheitsblatt 
2008, 1095 (1096). 
Schubert/Köster/Küpper-Nybelen/Ihle, Versorgungsforschung mit GKV-Routinedaten, Bundesgesundheitsblatt 
2008, 1095 (1098). 
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längeren Zeitraum hinweg zum Gegenstand haben, da die Zuordnung neu hinzutre- 
tender Behandlungsdaten zu bereits anonymisierten Daten des Behandlungsfalls 
ohne Kenntnis des Personenbezugs nicht möglich ist. Insoweit ist eine datentechnisch 
mögliche Verschlüsselung des Personenbezuges - etwa durch getrennt zu speichernde 
personenbezogene Merkmale - geboten, die eine Deanonymisierung ausschließlich 
zum Zwecke der behandlungsfallbezogenen Zuordnung unter datenschutzrechtlich 
abgesicherten Vorkehrungen gegen Missbrauchsmöglichkeiten zulässt. Die Einzel- 
heiten eines solchen Verfahrens sind vor allem im Hinblick auf einen ausreichenden 
Schutz der Sozialdaten mit der Aufsichtsbehörde (...) - zweckmäßigerweise unter Be- 
teiligung des zuständigen Datenschutzbeauftragten - abzustimmen.“ [Hervor- 
hebung nicht im Original] 


Vor diesem Hintergrund erscheint es u.E. sachgerecht, die Frage nach den 
Anforderungen der Anonymisierung im Sinne des $ 287 Abs. 2 SGB V jeweils 
aus dem Blickwinkel der die Daten auswertenden Person bzw. Abteilung zu 
beurteilen. Wird den Personen bzw. der Abteilung, die das Forschungsvorha- 
ben durch die Auswertung der Daten durchführen, kein Mittel zur Re-Identi- 
fizierung (De-Anonymisierung) der Daten zur Verfügung gestellt, so handelt 
es sich aus deren Sicht um anonyme Daten. Dieses Ergebnis entspricht nicht 
nur den oben erwähnten praktischen Bedürfnissen, sondern auch der real ge- 
lebten Wirklichkeit innerhalb eines Leistungsträgers mit unterschiedlichen 
Abteilungen, die jeweils unterschiedliche Aufgaben zu erfüllen haben. 


Zudem ist eine entsprechende Handhabung, bei der zwischen unterschied- 
lichen Stellen und Personen innerhalb eines Amtes unterschieden wird, etwa 
aus den Vorgaben zur Geheimhaltung über Personendaten, die für eine Bun- 
desstatistik gemacht werden, grundsätzlich bekannt ($ 16 Abs. 2 S. ı Bundes- 
statistikgesetz). 


Zu fordern ist aber angesichts der bestehenden Unsicherheiten in jedem Fall 
eineräumlich, organisatorisch und personell eigenständige Forschungsabtei- 
lung des Leistungsträgers. In dieser Forschungsabteilung tätigen Personen 
dürfen etwa nicht auch in den anderen Abteilungen des Leistungsträgers ein- 
gesetzt werden und im Zusammenhang mit anderen Aufgaben Zugriff auf die 
nicht anonymisierten Daten haben. 


Erlaubnis der Aufsichtsbehörde 


Die Auswertung der Daten für Forschungsvorhaben bedarf der vorherigen 
Erlaubnis der Aufsichtsbehörde. Dies wird ausführlich in Kapitel 1.4.5 be- 
handelt. 


88 Leber in: Orlowski/Rau/Schermer/Wasem/Zipperer, GKV-Kommentar, SGB V, Stand: 08/2017, $ 287 Rn. 9f. 
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Zwischenergebnis und Vereinbarkeit mit der DSGVO 


Unter Beachtung der aufgezeigten Voraussetzungen ist die Datenverarbeitung 
durch den Leistungsträger für Forschungszwecke damit gemäß ş 67b Abs. ı 
S.1,2SGB Xi.V.m. $ 284 Abs. 3, $ 287 SGB V zulässig. 


Art. 9 Abs. 2DSGVO erlaubt gerade für den Gesundheitssektor die Verarbeitung 
sensibler Daten bei einem erheblichen öffentlichen Interesse, wozu insbeson- 
dere wissenschaftliche Forschung (lit. j) gehört. Die dargestellten strengen 
Anforderungen an die Auswertung der Daten durch den Leistungsträger sowie 
die von diesem nach Art. 89 Abs. ı DSGVO zu gewährenden Garantien tragen 
der besonderen Sensibilität dieser Daten bei der Verarbeitung zu Forschungs- 
zwecken Rechnung. 


Es gibt keine Anhaltspunkte für eine Unvereinbarkeit der Erlaubnisvorschrift 
in $ 287 SGB V mit der DSGVO und daher auch keinen Anlass für Änderungen 
des 5 287 SGB V zur Anpassung an die DSGVO.® Insbesondere dürfen die Mit- 
gliedsstaaten den Schutzstandard der DSGVO verändern und die Verarbeitung 
gesundheitsbezogener Daten beschränken (Art. 9 Abs. 4 DSGVO). 


Die Bundesrepublik Deutschland wäre aber auch nicht daran gehindert, die 
Bestimmungen des $ 287 SGB V zugunsten der medizinischen Forschung - wie- 
derum unter Berücksichtigung der Vorgaben der DSGVO (insbesondere des 
Art. 89 DSGVO) - zu lockern.” Angesichts der in Folge der aufgezählten Be- 
schränkungen restriktiven Möglichkeiten der Datenauswertung im Rahmen 
dieser Erlaubnisvorschrift hat bereits Leber 2005 unter Verweisung auf die ge- 
schafften verbesserten Bedingungen für die Beteiligten zur Datenverarbeitung 
und -nutzung nach den Datentransparenzregelungen in $$ 303a bis 303£ SGB V 
die praktische Bedeutung von $ 287 SGB V infrage gestellt. 


Jedenfalls wäre es wünschenswert, wenn der Gesetzgeber den Streit um die 
Bedeutung der Anonymisierung gemäß $ 287 Abs. 2 SGB beilegen würde und 
die Anforderungen hieran dahingehend klarstellte, dass die nicht abgeschlos- 
senen Sachverhalte erfasst sind und beispielsweise nicht mehr der Begriff 
der Anonymisierung verwendet wird. Stattdessen könnte eine umschrei- 
bende Formulierung verwendet oder der Begriff der „formalen“ Anonymisie- 
rung, dem Vorbild des $ 5a Abs. 3 Bundesstatistikgesetzes folgend, eingeführt 
werden. 


1.4.3.2.2 Weitergehende Nutzung zu Forschungszwecken ($ 67c Abs. 2 Nr. 2 SGB X) 


Es stellt sich die Frage, ob eine Nutzung der Sozialdaten zu Forschungszwecken 
durch die Krankenkassen auch über den Rahmen des s$ 287 SGB V hinaus 


89 Vgl. auch Schifferdecker, in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 2. 
90 Auch Spindler, MedR 2016, 691 (699). 
91 Leber, in: Orlowski/Rau/Schermer/Wasem/Zipperer, GKV-Kommentar, SGB V, Stand: 08/2017, $ 287 Rn. 10. 
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zulässig ist. In Betracht käme hier eine Verarbeitung personenbezogener So- 
zialdaten nach $ 67c Abs. 2 Nr. 2 SGB X. 


Wie oben bereits ausgeführt, kommt den spezielleren Normen aus dem be- 
reichsspezifischen Sozialdatenschutzrecht der Fachbücher des SGB (insb. 
SGB V) keine generelle Sperrwirkung bezüglich der Vorschriften des SGB I und 
SGB X zu. Vielmehr gehen die Regelungen des SGB V den allgemeinen Bestim- 
mungen nur vor, soweit sie einen einzelnen Teilbereich spezifisch regeln. In 
diesem Zusammenhang ist fraglich, inwieweit $ 287 SGB V eine Sperrwirkung 
für den Bereich der wissenschaftlichen Forschung mit Sozialdaten durch die 
Krankenkassen bewirkt und eine parallele Anwendbarkeit des $ 67c Abs. 2Nr. 2 
SGB X ausschließt. $ 287 SGB X regelt die Voraussetzungen für die Verwendung 
der vorhandenen Datenbestände durch den Leistungsträger selbst. Nach ver- 
breiteter Meinung der Literatur stellt $ 287 SGB V eine lex specialis für den Be- 
reich der Eigenforschung der Krankenkassen mit Sozialdaten, insbesondere 
im Verhältnis zu $ 67c Abs. 5 SGB X dar.” Ein Rückgriff auf die allgemeinen 
Verarbeitungstatbestände zur Legitimation der Verarbeitung weiterer perso- 
nenbezogener Daten zu Forschungszwecken schiede damit aus. 


Das Verhältnis der beiden Normen ließe sich auch anders interpretieren, denn 
der Grundsatz des „lex specialis derogat legi generali“ fordert eine Tatbestands- 
kongruenz. Nur dann kann die allgemeinere Regel nicht mehr zur Anwendung 
gebracht werden. Da 5 287 SGB V aber nicht nur erhöhte Anforderungen an die 
Verarbeitung zu Forschungszwecken aufstellt, sondern zugleich eine „leis- 
tungserbringer- oder fallbeziehbare“ Auswertung ermöglicht und zudem nur 
den Fall der Selbstauswertung regelt, könnte angenommen werden, dass der 
Fall einer nicht „leistungserbringer- oder fallbezogenen“ Fremdforschung 
durch die Norm gerade nicht geregelt und daher auch ein Rückgriff auf die 
allgemeinen Forschungstatbestände des SGB X nicht ausgeschlossen sein 
muss. Von der Literatur wird eine solche Auslegung bisher nicht gestützt, al- 
lerdings wird ihr auch nicht direkt widersprochen. 


Betrachtet man dies vor dem Hintergrund der geänderten datenschutzrecht- 
lichen Rahmenbedingungen durch die DSGVO, die eine weitgehende Privi- 
legierung der wissenschaftlichen Forschung zum Leitprinzip erklärt, könnte 
auch dieser neue Rechtsrahmen Anlass zu einer verarbeitungsfreundlicheren 
Interpretation des $ 287 SGB V bieten. Vom Willen des deutschen Gesetzgebers 
kann diese Interpretation freilich noch nicht gedeckt sein. Im Zuge einer zu 
erwartenden Anpassungsgesetzgebung könnte der Gesetzgeber aber den Weg 
für eine weitergehende Verarbeitung öffnen. Bis dahin wird man mit der wohl 
herrschenden Meinung einen Rückgriff auf ş 67c SGB X bezüglich Forschungs- 
vorhaben verneinen können. Infolge dieser Sperrwirkung käme s$ 67c Abs. 2 


92 Vgl. Schifferdecker, in: Kasseler Kommentar, Sozialversicherungsrecht, 2017, $ 287 SGB V Rn. 2; Leber, in: 
Orlowski/Rau/Schermer/Wasem/Zipperer, GKV-Kommentar, SGB V, Stand: 08/2017, $ 287 Rn. 1. 
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Nr. 2 SGB X vorliegend lediglich für die Auswertung der Sozialdaten zur Pla- 
nung im Sozialleistungsbereich in Betracht. 


1.4.3.2.3 Nutzung zu Planungszwecken ($ 67c Abs. 2 Nr. 2 SGB X) 


Gemäß $ 67c Abs. 2 Nr. 2 SGB X dürfen die nach Abs. ı gespeicherten Daten von 
dem Leistungsträger für andere als die gespeicherten Zwecke genutzt werden, 
wenn es zur Durchführung eines bestimmten Vorhabens der Planung im So- 
zialleistungsbereich erforderlich ist und die Voraussetzungen des $75 Abs. 1, 
2 oder 4a S. 1 SGB X% vorliegen. ”* 


Planung im Sozialleistungsbereich 


$ 67c Abs. 2 Nr. 2 SGB X ermöglicht die Nutzung zu bestimmten Vorhaben der 
Planung im Sozialleistungsbereich. Sozialleistungen sind die im SGB vorge- 
sehenen Dienst-, Sach- und Geldleistungen. Der Begriff der Planung um- 
schreibt die Festlegung künftigen Verhaltens auf der Grundlage der Abschät- 
zung künftiger Tatsachen anhand gegenwärtiger oder vergangener Tatsachen. 
Die Auswertung der Tatsachen muss stets zu einem bestimmten Zweck er- 
folgen. 


Erforderlichkeit 


Die Nutzung der zu anderen Zwecken erhobenen und gespeicherten Daten 
kann für ein bestimmtes Planungsvorhaben im Sozialleistungsbereich er- 
folgen, wenn sie für das Planungsvorhaben erforderlich ist. Angesichts der 


93 $75 Abs. 1 SGB X lautet: „Eine Übermittlung von Sozialdaten ist zulässig, soweit sie erforderlich ist für ein be- 
stimmtes Vorhaben 
1. der wissenschaftlichen Forschung im Sozialleistungsbereich oder der wissenschaftlichen Arbeitsmarkt- und 
Berufsforschung oder 
2. der Planung im Sozialleistungsbereich durch eine öffentliche Stelle im Rahmen ihrer Aufgaben 
und schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden oder das öffentliche Interesse 
an der Forschung oder Planung das Geheimhaltungsinteresse der betroffenen Person erheblich überwiegt. 
Eine Übermittlung ohne Einwilligung der betroffenen Person ist nicht zulässig, soweit es zumutbar ist, ihre Ein- 
willigung einzuholen. Angaben über den Namen und Vornamen, die Anschrift, die Telefonnummer sowie die für 
die Einleitung eines Vorhabens nach Satz 1 zwingend erforderlichen Strukturmerkmale der betroffenen Person 
können für Befragungen auch ohne Einwilligungen übermittelt werden. Der nach Absatz 4 Satz 1 zuständigen 
Behörde ist ein Datenschutzkonzept vorzulegen.“ 
$ 75 Abs. 2 SGB X lautet: „Ergibt sich aus dem Vorhaben nach Absatz 1 Satz 1 eine Forschungsfrage, die in einem 
inhaltlichen Zusammenhang mit diesem steht, können hierzu auf Antrag die Frist nach Absatz 4 Satz 5 Num- 
mer 4 zur Verarbeitung der erforderlichen Sozialdaten verlängert oder eine neue Frist festgelegt und weitere 
erforderliche Sozialdaten übermittelt werden.“ 
§ 75 Abs. 4a Satz 1 SGB X lautet: „Ergänzend zur Übermittlung von Sozialdaten zu einem bestimmten For- 
schungsvorhaben nach Absatz 1 Satz 1 kann die Verwendung dieser Sozialdaten auch für noch nicht bestimmte, 
aber inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereiches beantragt werden.“ 

94 Dem Rückgriff auf $ 67c Abs. 2 Nr. 2 SGB X steht auch $ 284 Abs. 3 S. 1 SGB V nicht entgegen, da dieser keine 
Sperrwirkung hinsichtlich allgemeinerem Datenschutzrecht des SGB X entfaltet. 

95 Vgl. Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 18. 
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weiten Fassung der Erlaubnisvorschrift kommt der Prüfung der Erforderlich- 
keit eine besondere Bedeutung zu. 


Aus der Erforderlichkeit ergibt sich bereits die Eingrenzung des Datenumfangs. 
So ist die Nutzung individualisierbarer Daten nicht zulässig, soweit eine Ano- 
nymisierung bzw. Aggregierung der Daten zumutbar ist. Diese Voraussetzung 
wird im Rahmen des Szenarios bereits dadurch eingehalten, dass die Daten vor 
der Auswertung anonymisiert werden (im Sinne des modifizierten Verständ- 
nisses der Anonymisierung innerhalb des Leistungsträgers, hierzu s.o.). 


Ferner verlangt die Erforderlichkeit die Begrenzung auf Sozialdaten, die der 
Planer in der betreffenden Phase des Planungsvorhabens unbedingt haben 
MUSS, 


Interessenabwägung ($ 75 Abs. 15.1 SGB X) 


Für die Nutzung zu Planungszwecken müssen die Voraussetzungen von $ 75 
Abs. 1 SGB X vorliegen. Insbesondere dürfen schutzwürdige Interessen des Be- 
troffenen nicht beeinträchtigt sein oder das öffentliche Interesse an der Pla- 
nung muss das Geheimhaltungsinteresse der betroffenen Person erheblich 
überwiegen. Abzuwägen sind daher nicht nur Beeinträchtigungen des einzel- 
nen Betroffenen, sondern auch aller Betroffenen zusammen gegen den Nut- 
zen, der aus der Durchführung des Planungsvorhabens zu erwarten ist. ° 


Bei Vorliegen entsprechender Anhaltspunkte ist in jedem Einzelfall eine mög- 
liche Beeinträchtigung zu prüfen.” Zu berücksichtigen sind sowohl objektive 
als auch subjektive Gesichtspunkte. Hierbei ist eine Prognose über mögliche 
Folgen einer Datennutzung für den Betroffenen zu stellen. Schutzwürdige Be- 
lange können demnach beeinträchtigt werden, wenn aus objektiver Sicht 
unter Zugrundelegung durchschnittlicher Verhältnisse Nachteile für den Be- 
troffenen zu befürchten sind (z.B. als sensitive Zusatzinformationen, dass der 
Aufenthalt des Betroffenen in einem Landekrankennaus feststellbar ist).'°° 
Eine Beeinträchtigung kommt auch in Betracht, wenn aufgrund besonderer 
Umstände Nachteile entstehen können, z.B. wenn der Informationsgehalt 
dieser Daten für den Betroffenen unter Berücksichtigung seiner psychischen 
Belange kritisch ist. 


Grundsätzlich kommt auch bei Beeinträchtigung schutzwürdiger Interessen 
die Zulässigkeit der Datennutzung in Betracht, wenn das öffentliche Interes- 
se das Geheimhaltungsinteresse des Betroffenen erheblich überwiegt. Aller- 
dings kann dieser Ausnahmetatbestand nur bei Forschungsvorhaben greifen. 


96 Vogl. Bieresborn, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 6. 
97 Vgl. Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 22. 
98 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 25. 
99 Vgl. Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 25. 
100 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 28. 
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Soweit das öffentliche Interesse an der Planung angesprochen ist, dürfte ein 
Redaktionsversehen vorliegen, da die Planung im Sozialleistungsbereich 
durch den Leistungsträger stets im öffentlichen Interesse erfolgt. 


Vorrang der Einwilligung ($ 75 Abs. 1 S. 2 SGB X) 


$75 Abs. 1S. 2 SGB X bestimmt, dass vor einer Übermittlung eine Einwilligung 
der betroffenen Person einzuholen ist. Da die Verweisung in $ 67c Abs. 2 Nr. 2 
SGB X ausdrücklich „s 75 Absatz ı, 2 oder 4a Satz 1“ benennt, ist davon auszu- 
gehen, dass mit der Verweisung auf Absatz ı nicht lediglich Satz ı des Absatzes 
gemeint ist, sondern auf alle Regelungen des Absatzes ı verwiesen wurde. 
Wäre dies nicht gewollt, wäre die Verweisung - wie in Absatz 4a - auf einen 
bestimmten Satz beschränkt. Der Vorrang der Einwilligung gilt insofern auch 
in vorliegender Konstellation. Hiervon besteht nur dann ein Dispens, wenn 
die Einholung unzumutbar ist. Die Zumutbarkeit ist dabei nicht bereits des- 
wegen zu verneinen, weil ein nicht unerheblicher Verwaltungsaufwand er- 
forderlich ist, um die Anforderungen der Vorschrift zu erfüllen. 3 


Eine Einwilligung ist gemäß s 75 Abs. 1 S. 3 SGB X zudem nicht erforderlich, 
wenn Angaben über den Namen und Vornamen, die Anschrift, die Telefon- 
nummer oder die für die Einleitung eines Vorhabens nach Satz ı zwingend 
erforderlichen Strukturmerkmale der betroffenen Person für Befragungen 
betroffen sind. 


Keine Anwendbarkeit des $ 67c Abs. 5 SGB X 


Die Vorgaben des $ 67c Abs. 5 SGB X, wonach Daten, die für Zwecke der Planung 
im Sozialleistungsbereich erhoben und gespeichert wurden, nur für bestimm- 
te Vorhaben verändert oder genutzt werden dürfen, alsbald anonymisiert und 
bis dahin getrennt gespeichert werden müssen, ist bereits nach dem Wortlaut 
in der vorliegenden Konstellation nicht einschlägig. $ 67c Abs. 5 SGB X lautet: 


„Für Zwecke der wissenschaftlichen Forschung oder Planung im Sozialleistungsbe- 
reich erhobene oder gespeicherte Sozialdaten dürfen von den in $35 des Ersten Buches 
genannten Stellen nur für ein bestimmtes Vorhaben der wissenschaftlichen Forschung 
im Sozialleistungsbereich oder der Planung im Sozialleistungsbereich verändert oder 
genutzt werden. Die Sozialdaten sind zu anonymisieren, sobald dies nach dem For- 
schungs- oder Planungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu 
speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer 
bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den 
Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Planungs- 
zweck dies erfordert.“ 


101 Vgl. Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 29f. 
102 Zu den Voraussetzungen der Einwilligung s. Kap. 1.4.3.3. 
103 Vgl. Bieresborn, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 6ff. m.w.N. 
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Vorliegend geht es um im Rahmen des s 284 Abs. ı SGB V erhobene und ge- 
speicherte Daten. Sie wurden somit nicht bereits für Zwecke der Planung im 
Sozialleistungsbereich erhoben und gespeichert. Eine Zweckänderung soll 
aber derart möglich sein, dass für Zwecke der wissenschaftlichen Forschung 
oder Planung im Sozialleistungsbereich erhobene und gespeicherte Daten für 
andere Vorhaben der wissenschaftlichen Forschung oder Planung im Sozial- 
leistungsbereich verwendet werden können. 4 


Missverständlich ist angesichts des klaren Wortlauts die ihr widersprechende 
Gesetzesbegründung. Demnach soll das geltende Recht zwar beibehalten wer- 
den. Dann heißt es aber: 


„Demnach können die verantwortlichen Datenerheber (Erstverarbeiter) die personen- 
bezogenen Daten, die ursprünglich für einen anderen Zweck erhoben wurden, für 
Forschungszwecke weiterverarbeiten. Die in §35SGBI genannten Stellen dürfen die 
Sozialdaten, die sie ursprünglich bei der Erfüllung ihrer gesetzlichen Aufgaben erhoben 
haben, für Forschungszwecke verändern oder nutzen. Mit der Pflicht zur Anonymisie- 
rung von Sozialdaten, sobald dies nach dem Forschungs- oder Planungszweck möglich 
ist, wird dem informationellen Selbstbestimmungsrecht Rechnung getragen.“ [Her- 
vorhebung nicht im Original] 


Der Wortlaut einer Vorschrift stellt allerdings die Grenze der Auslegung dar. 
Somit greift Absatz 5 im vorliegenden Fall, in dem die Daten nicht zu For- 
schungs- und Planungszwecken erhoben werden, nicht ein. Fraglich ist aber 
angesichts der unmittelbaren Geltung der DSCVO, ob die Vorgaben des Absat- 
zes 5 nicht trotzdem beachtet werden müssen. In Art. 89 DSGVO sind Anfor- 
derungen an die Zulässigkeit zweckändernder Nutzung sensibler Daten ent- 
halten. Erforderlich sind demnach Garantien für die Datensicherheit, mit 
denen sichergestellt ist, dass technische und organisatorische Maßnahmen 
bestehen, mit denen insbesondere die Achtung der Datenminimierung ge- 
währleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehö- 
ren. Insofern bilden die Anforderungen gemäß s 67c Abs. 5 SGB X - wie laut 
der Gesetzesbegründung beabsichtigt - die Vorgaben des Art. 89 DSGVO ab. In 
Satz 2 heißt es insbesondere, dass die Sozialdaten zu anonymisieren sind, so- 
bald dies nach dem Forschungs- oder Planungszweck möglich ist. 


Allerdings ist der Rückgriff auf die Regelungen $ 67c Abs. 5 SGB X nicht erfor- 
derlich. Denn die Vorgaben der DSGVO wurden im Rahmen der hier maßßgeb- 
lichen Erlaubnisnorm ($ 67c Abs. 2 Nr. 2 SGB X) bereits durch die Verweisung 
auf die oben dargestellten Regelungen in $ 75 Abs. 1. SGB X eingehalten. 


104 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 67c Rn. 61. 
105 BT-Drs. 18/12611, S. 114. 
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Keine Anwendbarkeit des § 75 Abs. 2 und Abs. 4a 5.1 SGB X 


Ferner verweist $ 67c Abs. 2 Nr. 2 SGB X auf die Voraussetzungen des $75 Abs. 2 
oder 4a S. 1 SGB X. Durch die Verweisungen auf den Abs. 2 und Abs. 4a S. 1 des 
$ 75 SGB X soll sichergestellt werden, dass die betroffenen Stellen die in $ 75 
SGB X geregelten neuen Verarbeitungsbefugnisse in Anspruch nehmen kön- 
nen. Neu geschaffen wurden die Möglichkeiten im Bereich der Forschungs- 
folgefragen ($ 75 Abs. 2 SGB X) und hinsichtlich noch nicht bestimmter For- 
schungsvorhaben des gleichen Forschungsbereichs ($ 75 Abs. 4a SGB X). 


Die Vorschriften betreffen nach ihrem Wortlaut die Nutzung der Daten allein 
zu Forschungszwecken, Planungszwecke sind hiervon nicht erfasst. Dies er- 
gibt sich hinsichtlich $ 75 Abs. 2 SGB X auch aus der Gesetzesbegründung, in 
der es um Datennutzung durch „Forscher bzw. Forschungseinrichtungen“ 
geht.” 


Die Gesetzesbegründung zu $ 75 Abs. 4a SGB X ist dagegen widersprüchlich, 
weil sie einerseits auf den „Bereich der Forschung und Planung“, andererseits 
nur auf „Forschungsvorhaben“ und nicht auf Planungsvorhaben, abstellt. +8 
Es ist davon auszugehen, dass es sich hierbei um ein Redaktionsversehen han- 
delt und - entsprechend dem Wortlaut - nur hinsichtlich der Datennutzung 
zu Forschungszwecken erweiterte Möglichkeiten vorgesehen werden sollten. 
Dies ergibt sich insbesondere auch angesichts des Hintergrundes der Neure- 
gelung in Abs. 4a SGB X, mit der die Wertung des Erw.Cr. 33 der DSGVO auf- 
gegriffen werden soll. Dort heißt es: 


„Oftmals kann zum Zweck der Verarbeitung personenbezogener Daten für Zwecke der 
wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen 
Daten nicht vollständig angegeben werden. Daher sollte es den betroffenen Personen 
erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung 
zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wis- 
senschaftlichen Forschung geschieht. Die betroffenen Personen sollten die Gelegenheit 
erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von For- 
schungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.“ 


Diese Ausführungen können auf den Forschungsbereich übertragen werden, 
was ausweislich der Ausführungen in der Gesetzesbegründung vom Gesetz- 
geber auch beabsichtigt war. 


Für die vorliegend interessierende Auswertung der Daten durch den Leistungs- 
träger zu Planungszwecken kommt es somit auf die Voraussetzungen des $ 75 
Abs. 2 und 4a S. 1 SGB X nicht an. 


106 BT-Drs. 18/12611, S. 114. 
107 Vgl. BT-Drs. 18/12611, S. 118. 
108 BT-Drs. 18/12611, S. 119. 
109 Vgl. BT-Drs. 18/12611, S. 119. 
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Diese Verweisungen betreffen jeweils Möglichkeiten und Voraussetzungen 
der Datennutzung zu Forschungszwecken und sind im Übrigen vorliegend 
auch für die Datennutzung zu Forschungszwecken wegen der vorrangigen 
Geltung des s 287 SGB V für die (Eigen-)Auswertung der Daten durch den Leis- 
tungsträger nicht einschlägig. 


Anforderungen an i.R.d. $ 295 Abs. 1b S. 1 SGB V übermittelte Daten 
($ 284 Abs. 3 S. 2 SGB V) 


Darüber hinaus statuiert $ 284 Abs. 3 S. 2 SGB V"eine Pflicht zur Löschung des 
Versichertenbezugs vor der Auswertung der Daten durch den Leistungsträger, 
wenn es sich bei den zu übermittelnden Daten um solche handelt, die gemäß 
$ 295 Abs. 1b S. 1 SGB V von den Leistungserbringern übermittelt wurden. So 
können versichertenbezogene Abrechnungsdaten, die die Krankenkasse etwa 
im Zusammenhang mit einem Vertrag zur integrierten Versorgung ohne Be- 
tejligung der kassenärztlichen Vereinigung von den Leistungserbringern er- 
halten hat, für außerhalb von s 284 Abs. 1 S. 1 Nr. 4, 8-14 und $ 305 Abs. 1 SGB V 
liegende Zwecke - folglich auch für Zwecke der wissenschaftlichen Forschung, 
der Planung und der Qualitätssicherung - nicht an Dritte übermittelt werden. 
Vielmehr ist der Versichertenbezug vor einer Übermittlung zu diesen Zwecken 
zu löschen. Ob der Gesetzgeber hier bewusst auf den Terminus der Anonymi- 
sierung verzichtet hat, ist unsicher. Folglich ist bei der Übermittlung der So- 
zialdaten zu Forschungs- und Planungszwecken i.R.v. $ 75 SGB X zu unter- 
scheiden, ob es sich um Dateni.S.d. $ 295 Abs. 1b S. 1 SGB V handelt oder nicht. 
Ist Ersteres der Fall, sind die Daten gemäß $ 284 Abs. 3 S. 2 Hs. 2 SGB V zwin- 
gend vom Versichertenbezug zu befreien. 


Vereinbarkeit mit der DSGVO 


Eine Unvereinbarkeit der Erlaubnisnormen ($ 67b Abs. 1 S. 1, 2 SGB X i.V.m. 
$ 284 Abs. 3 SGB V, $ 67c Abs. 2. Nr. 2 SGB X) mit der DSGVO ist nicht ersicht- 
lich. Die Zulässigkeit einer nationalen Norm zur zweckändernden Verarbei- 
tung von Gesundheitsdaten folgt aus Art. 9 Abs. 2 lit. h) bzw. j) DSGVO. Die 
Zulässigkeit ist daher zum einen an die Bedingungen und Garantien gem. 
Art. 9 Abs. 3 (lit. h]) sowie an die Anforderungen des Art. 89 DSGVO (lit. j) ge- 
knüpft. Vorliegend dürften die Voraussetzungen des Art. 89 DSGVO durch die 
Verweisung auf die einschränkenden Regelungen aus $ 75 SGB X der seinerseits 
auf $ 22 Abs. 2 BDSG verweist, erfüllt werden. 


Die Datenverarbeitung zu Planungszwecken im Sinne des $ 67c Abs. 2 
Nr. 2 SGB X dürfte jedoch (nur) unter die Ausnahmevorschrift in Art. 9 Abs. 2 


110 $ 284 Abs. 3 S. 2 SGB V lautet: „Die Daten, die nach $ 295 Abs. 1b Satz 1 an die Krankenkasse übermittelt 
werden, dürfen nur zu Zwecken nach Absatz 1 Satz 1 Nr. 4, 8, 9, 10, 11, 12, 13, 14 und $ 305 Abs. 1 versicher- 
tenbezogen verarbeitet und genutzt werden und nur, soweit dies für diese Zwecke erforderlich ist; für die 
Verarbeitung und Nutzung dieser Daten zu anderen Zwecken ist der Versichertenbezug vorher zu löschen.“ 
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lit. h)DSGVO, nicht aberlit. j), fallen. In diesem Fall dürften die Daten gemäß 
Art. 9 Abs. 3 DSGVO nur verarbeitet werden, wenn diese Daten von Fachper- 
sonal oder unter dessen Verantwortung verarbeitet werden und dieses Fach- 
personal dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch 
eine andere Person erfolgt, die ebenfalls einer Geheimhaltungspflicht unter- 
liegt. 


Zwischenergebnis 


Die Auswertung der Sozialdaten durch den Leistungsträger zu Planungszwe- 
cken im Sozialleistungsbereich ist nur unter sehr engen Voraussetzungen zu- 
lässig. Vorliegend dürfte die Erlaubnisvorschrift insbesondere deswegen in 
vielen Fällen greifen, weil die Sozialdaten vor der Auswertung anonymisiert 
werden sollen und das Personal des Leistungsträgers zur Geheimhaltung ver- 
pflichtet ist. 


1.4.3.2.4 Nutzung zur Qualitätssicherung ($ 299 SGB V) 


Die Auswertung der Sozialdaten zur Qualitätssicherung könnte grundsätzlich 
auf Grundlage des s 67b Abs. 1, S. 1, 2 SGB X i.V.m. $ 284 Abs. 3, $ 299 Abs. 1a 
SGB V zulässig sein. Die Krankenkassen sind gemäß 5 299 Abs. 1a SGB V befugt 
und verpflichtet, nach $ 284 Abs. 1 SGB V erhobene und gespeicherte Sozial- 
daten zu verarbeiten oder zu nutzen, wenn die einzelnen Voraussetzungen der 
Vorschrift vorliegen. 


Neben den in Absatz 1a selbst genannten Voraussetzungen gelten auch die in 
Absatz ı Satz 3 bis 7 entsprechend ($ 299 Abs. 1a S. 3). Gemäß 5 299 Abs. 1 S. 4 
Nr. 2 SGB V muss die Auswertung der Daten von einer unabhängigen Stelle 
vorgenommen werden, wenn sie nicht die Datenauswertung durch die Kas- 
senärztliche Vereinigung im Rahmen der Qualitätsprüfungen betrifft. Die 
Vorschrift greift insofern bereits deswegen nicht für die hier interessierende 
Selbstauswertung durch den Leistungsträger. 


Dies ergibt sich auch daraus, dass die Auswertung der Daten zu Qualitätssi- 
cherungszwecken gemäß 5 299 Abs. 1a SGB V in Richtlinien und Beschlüssen 
des Gemeinsamen Bundesausschusses nach ss 135b Abs. 2 und 136 Abs. 1 S. 1 
SGB V, ṣ$ 136b und 137b Abs. 1 SGB V sowie in Vereinbarungen nach $ 137d SGB V 
vorgesehen sein muss. Dabei müssen in diesen Richtlinien, Beschlüssen und 
Vereinbarungen gemäß $ 299 Abs. 1a S. 3 SGB V u.a. auch die Empfänger der 
betroffenen Daten festgelegt werden. Ein Empfänger setzt insoweit einen 
Übermittlungsprozess und keine Selbstauswertung der Daten voraus. In der 
Gesetzbegründung heißt es hierzu: 


„In Absatz ıa werden erstmals die Krankenkassen gesetzlich legitimiert und verpflich- 
tet, bestimmte nach $ 284 Absatz ı rechtmäßig erhobene und gespeicherte versicher- 
ten- und einrichtungsbezogene Daten für die Zwecke der Qualitätssicherung an den 
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in den Richtlinien festgelegten Empfänger zu übermitteln. Damit wird die Möglich- 
keit geschaffen, im Prozess der Qualitätssicherung auf Versichertenstamm- und Ab- 
rechnungsdaten der Krankenkassen zurückzugreifen, soweit diese Rückschlüsse auf 
die Qualität der Leistungserbringung ermöglichen (z.B. Abrechnungsdaten zu Kom- 
plikationen einer Behandlung). Dieser Rückgriff steht allerdings unter der Voraus- 
setzung der Erforderlichkeit für die konkreten Maßnahmen der Qualitätssicherung. 
Eine entsprechende Richtlinienregelung ist zulässig, wenn sich nach Abwägung der 
maßgeblichen Aspekte wie Nutzen und Informationsgewinn dieser Daten, Ersparnis 
gesonderter Datenerhebungen bei weiteren Stellen, Reduzierung von Verwaltungs- 
aufwand und Bestehen weniger eingreifender Alternativen der Informationsbeschaf- 
fung sich die konkret vorgesehenen Datenübermittlungen der Krankenkassen als 
vorzugwürdiges Ergebnis erweisen. Entsprechende Erwägungen müssen im Richtli- 
nienbeschluss zum Ausdruck kommen.“ [Hervorhebung nicht im Original] 


Aus den Bestimmungen zur Festlegung des Empfängers und der Gesetzesbe- 
gründung ergibt sich letztlich auch, dass es sich bei $ 299 Abs. 1a SGB V um 
eine weitere Erlaubnis- bzw. Verpflichtungsvorschrift hinsichtlich der Über- 
mittlung der Daten durch die Leistungsträger zum Zwecke der Qualitätssiche- 
rung an einen Dritten (eine unabhängige Stelle) handelt. Die Selbstauswer- 
tung sollte nicht Inhalt der neu geschaffenen Möglichkeiten sein. 


Die Selbstauswertung durch den Leistungsträger zum Zwecke der Qualitäts- 
sicherung gemäß $ 299 Abs. 1a SGB V scheidet insofern aus. Auch anderen Er- 
laubnisvorschriften sind insoweit nicht ersichtlich. 


1.4.3.3 Einwilligung 


Neben einer gesetzlichen Ermächtigung kann sich die Zulässigkeit der Ver- 
arbeitung aus einer Einwilligung des Betroffenen ergeben (Art. 6 Abs. ılit. a] 
DSGVO, Art. 9 Abs. 2 lit. al DSGVO), die bei allen hier relevanten Zwecken in 
Betracht kommt. Während für Einwilligungen nach Art. 6 Abs. ı lit. a)DSGVO 
kein Regelungsspielraum der Mitgliedsstaaten verbleibt, da hierfür keine Öff- 
nungsklausel in der DSGVO eingreift, ergibt sich ein solcher für den Bereich 
der Verarbeitung besonderer Kategorien personenbezogener Daten (im Folgen- 
den auch: sensible Daten) aus der Öffnungsklausel des Art. 9 Abs. 2 lit. a) 
DSGVO.'" Diesbezüglich kann sich aus dem Unionsrecht oder dem Recht der 
Mitgliedsstaaten ergeben, dass das grundsätzliche Verbot der Verarbeitung 
etwa von Gesundheitsdaten durch eine Einwilligung nicht aufgehoben wer- 
den kann. Wenn also eine nationale Vorschrift existiert, die die Einwilligungs- 
möglichkeit ausschließt, ist die Datenverarbeitung gemäß Art. 9 Abs. 1DSGVO 
verboten. Wenn den Mitgliedsstaaten die Regelungsbefugnis zukommt, die 
Einwilligung vollständig auszuschließen, bedeutet dies allerdings auch, dass 


111 BT-Drs. 17/8005, S. 130. 
112 Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 316f. 
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das nationale Recht anstelle eines vollständigen Ausschlusses lediglich enge- 
re Voraussetzungen an die Einwilligung, als Minus zum möglichen, vollstän- 
digen Ausschluss der Einwilligung, vorgeben kann, als sie in der DSGVO be- 
stimmt sind.'» Der deutsche Gesetzgeber hat für den hier einschlägigen Be- 
reich zunächst hinsichtlich nicht sensibler Sozialdaten die Einwilligungsmög- 
lichkeit in $ 67b Abs. 1 S. 1 SGB X nicht mehr aufgeführt und hinsichtlich der 
Einwilligung in die Verarbeitung von sensiblen Daten von seiner Regelungs- 
kompetenz zum vollständigen Ausschluss der Einwilligung keinen Gebrauch 
gemacht (vgl. $ 67b Abs. 1 S. 2, 3 SGB X)."* Dementsprechend ist eine Einwil- 
ligung grundsätzlich auch für diesen Bereich möglich. 


Die grundlegenden Anforderungen an die Einwilligung sind in Art. 4 Nr. 11 
und Art. 7 DSGVO festgelegt. Gemäß Art. 4 Nr. 11 DSGVO ist eineEinwilligung 


„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständ- 
lich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen ein- 
deutigen bestätigenden Handlung, mit der die betroffene Person zu versehen gibt, 
dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einver- 
standen ist.“ 


Art. 7DSGVO ergänzt die Anforderungen dahingehend, dass die Einwilligung 
jederzeit widerruflich (Abs. 3) und der Verantwortliche zum Nachweis der Ein- 
willigungserklärung verpflichtet ist (Abs. ı). Im Bereich sensibler Daten er- 
geben sich aus Art. 9 Abs. 2 lit. a) DSGVO darüber hinaus noch weitergehende 
Anforderungen an eine Einwilligung. Auch nationale sozialdatenschutzrecht- 
liche Regelungen enthalten zusätzliche Anforderungen an eine wirksame Ein- 
willigung als Grundlage für die Datenverarbeitung. Im Einzelnen: 


1.4.3.3.1 Freiwilligkeit 


Bereits nach der Definition der Einwilligung nach Art. 4Nr. 11 DSGVO ist die 
Freiwilligkeit der Einwilligung erforderlich. Besonderes Augenmerk ist bei 
der Einholung einer Einwilligung im Zusammenhang mit der Datenverarbei- 
tung durch Sozialleistungsträger auf die Gestaltung der Einwilligungserklä- 
rungen zu legen. Auf Grund des Abhängigkeitsverhältnisses zwischen Betrof- 
fenem und Leistungsträger bewegt sich die Freiwilligkeit der Erklärung stets 
auf einem schmalen Grat. Dies macht insbesondere Erw.Gr. 43 der DSGVO 
deutlich. Danach 


„sollte diese [die Einwilligung] in besonderen Fällen, wenn zwischen der betroffenen 
Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere 


113 Siehe auch: Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 49f. 

114 An dieser Stelle sei darauf hingewiesen, dass mit dem Entwurf zum 2. DSAnpUG-EU bei der Verarbeitung von 
biometrischen, genetischen oder Gesundheitsdaten formelle Wirksamkeitsvoraussetzungen für Einwilligungs- 
erklärungen geschaffen werden sollen, vgl. BT-Drs. 19/4674, S. 153. Hierzu bereits oben in Kap. 1.1.3.2.1. 
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wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in 
Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Ein- 
willigung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Ein- 
willigung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgän- 
gen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden 
kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, 
einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig 
ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“ 


Dementsprechend ist die Einwilligung derart zu gestalten, dass dem Betrof- 
fenen die Wahlmöglichkeit klar vor Augen geführt und betont wird, dass die 
Nichterteilung keine nachteiligen Folgen für das Versicherungsverhältnis hat 
und haben wird. Dabei kann die Freiwilligkeit, sofern im Rahmen des kon- 
kreten Vorhabens möglich, über ein abgestuftes Einwilligungssystem beson- 
ders herausgestellt werden. 


Insbesondere ist gemäß Art. 7 Abs. 4DSGVO zu vermeiden, den Abschluss eines 
Vertrages an die Abgabe der Einwilligung zu koppeln. 


1.4.3.3.2 Informiertheit/Hinweispflicht 


Grundvoraussetzung der wirksamen Einwilligung ist die Informiertheit des 
Einwilligenden. Der Betroffene ist vorab über die wesentlichen Punkte der 
Datenverarbeitung, wie den Verantwortlichen den Empfänger, die Übermitt- 
lungswege und -zwecke sowie das Forschungsprojekt zu informieren." Erw. 
Gr. 42 der DSGVO konkretisiert die Informationspflichten des Verantwortli- 
chen dahingehend, dass der Betroffene über den Verantwortlichen und die 
Zwecke der Datenverarbeitung aufzuklären ist und dass er erkennen kann, 
dass und in welchem Umfang er seine Einwilligung erteilt. Gemäß s 67b Abs. 2 
S. 2 SGB X muss die betreffende Person auf den Zweck der vorgesehenen Ver- 
arbeitung, auf die Folgen der Verweigerung der Einwilligung sowie auf die 
jederzeitige Widerrufsmöglichkeit im Rahmen der Einholung der Einwilli- 
gung hingewiesen werden. Der deutliche Hinweis auf diese Punkte ist dabei 
auch von erheblicher Bedeutung für die Freiwilligkeit der Erklärung, denn auf 
Grund des bestehenden Abhängigkeitsverhältnisses der Betroffenen von den 
Leistungsträgern kann die Freiwilligkeit der Einwilligung nur bejaht werden, 
wenn dem Betroffenen klar wird, dass die Erteilung einer Einwilligung für 
ihn nicht zwingend ist. Hierdurch wird insbesondere auch der Forderung im 
Erw.Gr. 32 der DSGVO entsprochen, wonach die Einwilligung freiwillig, für 
den konkreten Fall und in informierter Weise erfolgen soll. Damit die betref- 
fende Person die Einwilligung in Kenntnis der Sachlage abgeben kann, muss 
sie wiederum wissen, für welche Zwecke ihre Daten verarbeitet werden sollen 
(vgl. Erw.Cr. 42 DSGVO). 


115 Rombach, in: Hauck/Noftz, Stand: 08/2017, SGB X, $ 75 Rn. 32. 
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Mangels einer konkretisierenden Regelung in der DSGVO, welche Informatio- 
nen der Einwilligende genau erhalten soll, kann der nationale Gesetzgeber 
entsprechende Vorgaben machen. 


1.4.3.3.3 Zweckbindung/Umfang 


Bereits aus der Definition in Art. 4 Nr. 11 DSGVO ergibt sich, dass die Einwil- 
ligung nur für einen bestimmten Fall abgegeben werden kann. Art. 6 Abs. ı 
S. 1 lit. a) DSGVO sowie Art. 9 Abs. 2 lit. a) DSGVO konkretisieren dieses Er- 
fordernis dahingehend, dass sich die Einwilligung auf einen oder mehrere 
festgelegte Zwecke beziehen muss. Das Maß der Konkretisierung hängt dabei 
regelmäßig von der geplanten Verwendungssituation ab.'‘ Dementsprechend 
ist das konkrete Vorhaben im Rahmen der Einwilligung zu benennen und so- 
weit möglich zu beschreiben. 


Bei der Verarbeitung von Daten zu Forschungszwecken gilt darüber hinaus $ 67 
Abs. 3 SGB X, wonach die Einwilligung für ein bestimmtes Vorhaben oder für 
bestimmte Bereiche der wissenschaftlichen Forschung erteilt werden kann 
(Broad Consent). Mit dieser erweiterten Einwilligung soll den Bedürfnissen 
der Wissenschaft Rechnung getragen werden, wenn etwa zum Zeitpunkt der 
Erhebung der Sozialdaten noch nicht das konkrete Forschungsvorhaben, je- 
doch bestimmte Forschungsbereiche angegeben werden können. Durch die 
Regelung sollte berücksichtigt werden, dass Forschungsfragen teilweise in 
einer offenen Vorgehensweise sukzessive entwickelt werden'”. Dies greift den 
Gedanken des Erw.Cr. 33 DSGVO auf, der das Konzept einer solchen „weiten 
Einwilligung“ für die DSGVO beinhaltet, ohne dass der deutsche Gesetzgeber 
aber gleichzeitig die Bezugnahme auf die zur Kompensation von Erw.Gr. 33 
geforderte „Einhaltung der anerkannten ethischen Standards der wissen- 
schaftlichen Forschung“ ausdrücklich aufgreift."® Das führt nach hier ver- 
tretener Auffassung aber nicht zur Unvereinbarkeit mit der DSGVO, da die 
Erwägungsgründe zum einen kein verbindlicher Verordnungstext sind und 
überdies auch Erw.Gr. 33 nicht fordert, dass ein Mitgliedsstaat die Einhaltung 
ethischer Standards im jeweiligen Datenschutzrecht normiert. Verpflichtun- 
gen zur Einhaltung ergeben sich aus diversen Rechtsquellen außerhalb des 
nationalen Datenschutzrechts."» 


Um dem Grundsatz der informierten Einwilligung Rechnung zu tragen, soll- 
te der in der Einwilligung zu nennende Bereich der Forschung nicht zu all- 
gemein gefasst sein und istthematisch möglichst einzugrenzen. Die Teilneh- 
mer wissenschaftlicher Studien sollten zudem über das Vorgehen informiert 
und darauf hingewiesen werden, dass sich die Forschungsfragen in einem 


116 Buchner/Kühling, in: Kühling/Buchner, DS-GVO, 2017, Art. 7 Rn. 65. 
117 BT-Drs. 18/12611, S. 113. 

118 Siehe zum Broad Consent auch: Kap. 3.2. 

119 Siehe hierzu Kap. 3.2.6. 
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abgegrenzten thematischen Feld bewegen, jedoch schrittweise konkretisiert 
werden. 


1.4.3.3.4 Form und Nachweispflicht 


Hinsichtlich der Form der Einwilligung bestehen weder nach den SGB X noch 
der DSGVO zwingende Vorschriften. $ 67b Abs. 2 S. 1 SGB X regelt, dass die Ein- 
willigung nach Möglichkeit schriftlich oder elektronisch eingeholt werden 
soll. Diese Soll-Vorschrift dient im Wesentlichen der Sicherstellung der Nach- 
weispflicht (Art. 7 Abs. ı DSGVO), steht aber einer anderweitigen Form - etwa 
der mündlich erteilten, protokollierten Einwilligung - im Falle besonderer 
Umstände nicht entgegen. Dennoch ist es ratsam, die Einwilligungen zu 
den hier beabsichtigten Zwecken schriftlich oder hilfsweise elektronisch ein- 
zuholen. Mit der Möglichkeit einer elektronischen Erklärung soll berücksich- 
tigt werden, dass in Zukunft immer mehr Verwaltungsverfahren elektronisch 
geführt werden. Zur Vermeidung von Medienbrüchen soll durch die ergän- 
zende Möglichkeit der elektronischen Erklärung diesen Entwicklungen Rech- 
nung getragen werden.'> Nicht ausreichend ist dagegen Stillschweigen, be- 
reits angekreuzte Kästchen oder Untätigkeit der betroffenen Person. Durch 
die vorgeschriebene Nachweispflicht wird die Beweislast für das Vorliegen 
einer wirksamen Einwilligung dem Leistungsträger auferlegt. Letztlich laufen 
diese Vorgaben auf eine Dokumentationspflicht für den gesamten Verarbei- 
tungsvorgang und die Einholung der jeweiligen Einwilligung hinaus.” 


Sind von der Datenverarbeitung besondere Kategorien personenbezogener 
Daten umfasst, regelt Art. 9 Abs. 2 lit. a) DSGVO zudem, dass die Einwilligung 
ausdrücklich erfolgen muss. Eine mutmaßliche Einwilligung kommt ebenso 
wie eine konkludent durch schlüssiges Verhalten geäußerte nicht in Be- 
tracht.'* Die Ausdrücklichkeit der Einwilligung gemäß Art. 9 Abs. 2 lit. a) 
DSGVO soll den Betroffenen auf die besondere Sensibilität der Daten aufmerk- 
sam machen. Konkret wird gefordert, dass der betroffenen Person unter kon- 
kreter Nennung der Datenkategorie verdeutlicht werden muss, dass die ent- 
sprechenden Daten von der Einwilligung erfasst sind. Auch unter diesem 
Gesichtspunkt ist eine schriftliche oder elektronische Einwilligung folglich 
empfehlenswert. 


Es sei an dieser Stelle auf den eingangs erwähnten Gesetzentwurf zum 
2. DSAnpUG-EU hingewiesen, wonach strengere Wirksamkeitsvoraussetzun- 
gen an die datenschutzrechtliche Einwilligungserklärung bei der Verarbeitung 


120 BT-Drs. 18/12611, S. 113. 

121 BT-Drs. 18/12611, S. 113. 

122 BT-Drs. 18/12611, S. 112f. 

123 Vgl. Plath, in: Plath, BDSG/DSGVO, 2. Aufl., 2016, Art. 7 Rn. 3. 

124 Frenzel, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 9 Rn. 21; Schiff, in: Ehmann/Selmayr, DS-GVO, 
2017, Art. 9 Rn. 28. 

125 Plath, in: Plath, BDSG/DSGVO, 2. Aufl., 2016, Art. 9, Rn. 13. 
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von genetischen, biometrischen und Gesundheitsdaten in einem neuen $ 67b 
Abs. 2 S. 2, Abs. 3 SGB X geplant sind. 6 


1.4.3.3.5 Hervorhebungsgebot 


In Art. 7 Abs. 2 DSGVO werden für den Fall, dass die Einwilligung schriftlich 
erfolgt und noch andere Sachverhalte betrifft, weitere Voraussetzungen vor- 
gegeben. Diese muss dann in verständlicher und leicht zugänglicher Form in 
einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sach- 
verhalten klar zu unterscheiden ist. Es gilt somit das sog. Trennungs- und 
Transparenzprinzip, insbesondere auch zur Verhinderung „versteckter“ Ein- 
willigungserklärungen in den Allgemeinen Geschäftsbedingungen. 


1.4.3.3.6 Widerrufsmöglichkeit 


Gemäß Art. 7 Abs. 3 DSGVO hat die betroffene Person jederzeit das Recht, ihre 
Einwilligung zu widerrufen. Der Widerruf muss so einfach wie die Erteilung 
der Einwilligung sein. Hierdurch kann der Betroffene seine Einwilligung ex 
nunc beseitigen und zukünftige Datenverarbeitung auf Grundlage seiner Ein- 
willigung verhindern. 7 


1.4.3.3.7 Zwischenergebnis 


Unter Beachtung der aufgezeigten Anforderungen kommt die Auswertung der 
Sozialdaten jeweils zu Forschungs-, Planungs- sowie Qualitätssicherungszwe- 
cken in Betracht. 


Im Bereich der Datenauswertung zu Forschungszwecken gilt insofern eine Er- 
leichterung hinsichtlich der Zweckbindung, als die Nennung bestimmter Be- 
reiche der Forschung zulässig ist, soweit eine weitere Konkretisierung zum 
Zeitpunkt der Einwilligung noch nicht möglich ist. 


1.4.4 Angemessene, spezifische Maßnahmen (§ 22 Abs. 2 BDSG) 


Bei der Auswertung der Sozialdaten durch den Leistungsträger handelt es sich 
auch um die Veränderung oder Nutzung der Sozialdaten im Sinne des $ 67b 
SGB X. Gemäß s 67b Abs. 1 S. 4 SGB X gilt $ 22 Abs. 2 BDSG entsprechend und 
ist auch vorliegend anzuwenden. $ $ 22 Abs. 2 BDSG lautet wie folgt: 


„In den Fällen des Absatzes sind angemessene und spezifische Maßnahmen zur Wah- 
rung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des 


126 Hierzu bereits eingangs in Kap. 1.1.3.2.1. 

127 Vgl. Plath, in: Plath, BDSG/DSGVO, 2. Aufl., 2016, Art. 7, Rn. 10, für den Bereich der Forschung Schaar, ZD 2017, 
213 (214, 216). 

128 Vgl. BT-Drs. 18/12611, S. 114. 
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Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Um- 
stände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahr- 
scheinlichkeit undSchwere der mit der Verarbeitung verbundenen Risiken für die Rech- 
te und Freiheiten natürlicher Personen können dazu insbesondere gehören: 


1. 


technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbei- 
tung gemäß der [DSGVO] erfolgt, 


. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt wer- 


den kann, ob und von wem personenbezogene Daten eingegeben verändert oder 
entfernt worden sind, 

Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, 

Benennung einer oder eines Datenschutzbeauftragten, 


5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der ver- 


antwortlichen Stelle und von Auftragsverarbeitern, 


6. Pseudonymisierung personenbezogener Daten, 


10. 


Durch diese Regelung wurde das Erfordernis aus Art. 9 Abs. 2lit. b), g), i)und 
j) der DSGVO umgesetzt, geeignete Garantien für die Grundrechte und die In- 
teressen der betroffenen Person bzw. angemessene und spezifische Maßnah- 
men zur Wahrung der Grundrechte und Interessen der betroffenen Person 


Verschlüsselung personenbezogener Daten, 

Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Be- 
lastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung per- 
sonenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den 
Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzu- 
stellen, 

zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfah- 
rens zu regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit 
der technischen und organisatorischen Maßnahmen oder 

spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbei- 
tung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetztes sowie der 
[DSGVO] sicherstellen.“ 


vorzusehen. '» 


Die Anforderungen sind in $ 22 Abs. 2 BDSG bereits detailliert wiedergegeben. 
Wie diese in der Praxis im Einzelnen umzusetzen sind, muss im Einzelfall ge- 
prüft werden und kann nur anhand eines konkreten Datenschutz-Konzeptes 


beurteilt werden. 


129 BT-Drs. 18/11325, S. 95. 


50 


1 Bewertung der Rechtslage ab 25.05.2018 


1.4.5 Genehmigungserfordernis und -anforderungen 


1.4.5.1 Forschungszwecke 


Ein Genehmigungserfordernis besteht bei Auswertung der Daten zu For- 
schungszwecken ohne Einwilligung der Betroffenen auf Grundlage des 5 287 
SGB V. Hier muss die Aufsichtsbehörde dem Leistungsträger eine Erlaubnis 
erteilen. Das Erlaubnisverfahren ist im Gesetz nicht geregelt. Nach dem Ge- 
setzeszweck ist die Erlaubnis vor Beginn der Forschungsvorhaben erforderlich. 
Hierdurch soll die Einhaltung der Datenschutzvorschriften gewährleistet wer- 
den, sodass die Aufsichtsbehörde über die Einzelheiten des geplanten For- 
schungsvorhabens (vorher) zu unterrichten ist.’ 


1.4.5.2 Planungsvorhaben 


Bei der Auswertung der Daten zu Planungszwecken ohne Einwilligung der Be- 
troffenen auf Grundlage des $ 67 Abs. 2 Nr. 2 SGB X ist mangels Verweis auf 
$75 Abs. 4 SGB X kein Genehmigungsverfahren erforderlich. Dennoch ist auf- 
grund des Verweises auf $ 75 Abs. 1 SGB X der zuständigen Aufsichtsbehörde 
ein Datenschutzkonzept vorzulegen, vgl. $75 Abs.1S.4SGBX. In dem Daten- 
schutzkonzept ist insbesondere darzulegen, dass die technischen und organi- 
satorischen Anforderungen sowie der Grundsatz der Datenminimierung erfüllt 
sind. Diese kann bei einer Prüfung sodann im Rahmen ihrer aufsichtsrecht- 
lichen Möglichkeiten auf den Leistungsträger einwirken. 


1.4.6 Ergebnis 


Zu Szenario 1 lassen sich damit folgende Ergebnisse zusammenfassen: 


Eine Verarbeitung von Sozialdaten zu Forschungszwecken ist in den Grenzen des 
$ 287 SGB V zulässig. Die Forschungsvorhaben sind dabei nicht auf medizinische 
Fragestellungen begrenzt. Die Beteiligung einer externen Stelle, die sich darauf 
beschränkt die Forschungsfrage sowie die Planung des Forschungsvorhabens 
mitzugestalten, ist unproblematisch. Ebenfalls denkbar wäre eine Einbeziehung 
einer externen Stelle im Rahmen einer Auftragsverarbeitung. Auswertungen 
dürfen jedoch nicht von einem Dritten vorgenommen werden. Die Anforderung 
des $ 287 Abs. 2 SGB V, wonach eine Anonymisierung der Daten erforderlich ist, 
kann nur sinnvoll in der Praxis umgesetzt werden, wenn ein modifiziertes Ver- 
ständnis des Begriffs der Anonymisierung zugrunde gelegt wird. Hierbei könn- 
te man sich an den Kategorien der sogenannten „formalen Anonymisierung“, 
wie sie in s16Abs. 2 S. ı Bundesstatistikgesetz verwendet wird, orientieren. Eine 
Unvereinbarkeit des $ 287 SGB V mit der DSGVO liegt unseres Erachtens nicht 


130 Didong, in: jurisPK-SGB V, 3. Aufl., 2016, $ 287 Rn. 11 m.w.N. 
131 BT-Drs. 18/12611, S. 118. 
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vor. Ein Rückgriff auf den allgemeineren Tatbestand des $ 76c SGB Xist nach vor- 
herrschender Meinung ausgeschlossen. Dem Gesetzgeber stünde es offen, diesen 
Rückgriff auch unter Beachtung der DSGVO zu ermöglichen. 


Eine Nutzung von Sozialdaten durch eine Krankenkasse zu Planungszwecken 
ist auf Grundlage des gesetzlichen Tatbestandes des $ 67c Abs. 2 Nr. 2 SGB X 
zulässig. Ob eine Anwendung von $ 75 Abs. 2 und Absatz 4 S. 1 SGB X in Be- 
tracht kommt, ist allerdings fraglich. Die besseren Argumente sprechen dafür, 
dass die sich aus dem Wortlaut ergebende Begrenzung auf Forschungsvorha- 
ben eine Anwendung für Planungsvorhaben nicht zulässt. 


Hinsichtlich einer Nutzung zu Qualitätssicherungszwecken ist eine Auswer- 
tung durch die Krankenkasse nach den Vorgaben des $ 299 SGB V nicht zulässig. 


Alternativ zu einer gesetzlichen Ermächtigungsnorm kann sowohl ein For- 
schungsvorhaben, ein Planungsvorhaben als auch ein Qualitätssicherungs- 
vorhaben auf eine Einwilligung gestützt werden. Da der Gesetzgeber von sei- 
ner Regelungskompetenz zum vollständigen Ausschluss der Einwilligung im 
Bereich der Verarbeitung von besonderen Kategorien personenbezogener Daten 
keinen Gebrauch gemacht hat, ist eine Einwilligung unter Rückgriff auf die 
DSGVO stets zulässig. Im Rahmen einer denkbaren Anpassung des SGB V an 
die DSGVO könnte der deutsche Gesetzgeber jedoch die Möglichkeit der Ein- 
holung einer Einwilligungserklärung für besondere Kategorien personenbe- 
zogener Daten ausschließen oder nur unter erhöhten Anforderungen zulassen. 


Bei allen Verarbeitungen sind angemessene, spezifische Maßnahmen zur 
Wahrung der Interessen der betroffenen Personen vorzusehen, wie sie sich 
aus der DSGVO bzw. dem nationalen Datenschutzrecht ergeben. Ein Geneh- 
migungserfordernis besteht ausschließlich bei einer Verarbeitung von Sozial- 
daten zu Forschungszwecken. 


1.5 Beurteilung von Szenario 2 
1.5.1 Darstellung des Szenarios 


Ein Leistungsträger der gesetzlichen Krankenversicherung und eine externe 
Einrichtung kooperieren. Die Sozialdaten werden für ein bestimmtes Vorha- 
ben an die externe Einrichtung übermittelt, die diese im Sinne des Vorhabens 
verarbeitet und auswertet. 


1.5.2 Rechtfertigungsbedürftige Datenverarbeitungsvorgänge 


Bereits vorab wurde klargestellt, dass die Verarbeitung anonymisierter Daten 
aus datenschutzrechtlicher Sicht nicht relevant ist, sodass auch eine Weiter- 
gabe anonymisierter Sozialdaten für ein bestimmtes Vorhaben an eine externe 
Einrichtung sowie die Verarbeitung und Auswertung durch diese zulässig ist. 
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Für pseudonymisierte Sozialdaten gilt Gleiches, wenn nach dem maßgeblichen 
Verständnis eines relativen Personenbezugs die pseudonymisierten Daten aus 
Sicht des Empfängers faktisch anonym sind. Dies wäre dann nichtanzunehmen, 
wenn ein rechtlich zulässiges Mittel bestünde, das eine De-Pseudonymisierung 
und damit eine Re-Identifikation durch die externe Einrichtung ermöglichte. 
Ein solches Mittel ist im Forschungs- oder Planungskontext nicht ersichtlich. 


Vorliegend kommen daher folgende rechtfertigungsbedürftige Verarbeitungs- 
vorgänge in Betracht: Abhängig von der rechtlichen Ausgestaltung ist zunächst 
eine Übermittlung (s. Kap. 1.4.3.2) an die externe Stelle zu untersuchen, die 
diese Daten dann im Sinne einer Auswertung nutzen würde (s. Kap. 1.5.4). 


Soll die externe Stelle hingegen als Auftragsverarbeiter tätig werden, stellen 
sich die Weitergabe der Daten an den Auftragsverarbeiter und die Auswertung 
durch diesen für den Auftraggeber jeweils als Nutzung durch den verantwort- 
lichen Auftraggeber dar (s. Kap. 1.5.4.4). 


1.5.3 Zulässigkeit der Weitergabe von Sozialdaten durch den Leistungsträger 
(hinsichtlich der jeweiligen Zwecke) an eine externe Einrichtung 


Sollen personenbezogene Abrechnungsdaten von Versicherten zum Zweck der 
Verarbeitung für ein bestimmtes Projekt im Bereich der wissenschaftlichen 
Forschung, Planung im Sozialleistungsbereich oder der Qualitätssicherung 
an eine externe Einrichtung übertragen werden, bedarf es entsprechend dem 
generellen Verbot mit Zulässigkeitsvorbehalt einer Ermächtigungsgrundlage. 
Neben den gesetzlichen Erlaubnistatbeständen (s. Kap. 1.5.3.2) kommt dabei 
auch die Einwilligung des Betroffenen (s. Kap. 1.5.3.3) in Betracht. Verzicht- 
bar kann eine solche Ermächtigungsgrundlage gegebenenfalls sein, wenn die 
Daten nicht an einen eigenständigen Dritten, sondern einen weisungsgebun- 
denen Auftragsverarbeiter weitergegeben werden (s. Kap. 1.5.3.4). 


1.5.3.1 Prüfungsmaßstab/ldentifikation des einschlägigen Datenschutzregimes 


Hinsichtlich der Verarbeitungen durch die Krankenkasse bleibt es bei den in 
Kapitel 1.4.3.1 beschriebenen Rahmenbedingungen. 


1.5.3.2 Gesetzliche Ermächtigung 


Aufgrund des Vorrangs der bereichsspezifischen Datenschutzregelungen des 
Sozialgesetzbuchs"» bedarf es einer entsprechenden Ermächtigungsgrundlage 
im SGB. $ 67b Abs. 1 SGB X bestimmt, dass die Übermittlung von Sozialdaten, 
inklusive der besonderen Kategorien personenbezogener Daten, durch die Leis- 
tungsträger zulässig ist, sofern die Folgevorschriften des SGB X oder eine 


132 Vgl. dazu oben Kap. 1.4.3.1. 
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andere Rechtsvorschrift des Sozialgesetzbuchs dies erlaubt oder anordnet. 
Dabei ist zunächst auf die bereichsspezifischen Vorschriften des SGB V abzu- 
stellen, bevor eine Ermächtigungsgrundlage des allgemeinen Sozialrechts 
nach dem SGB X herangezogen wird. 


Die ss 284ff. SGB V regeln bereichsspezifisch die zulässige Verarbeitung von 
Sozialdaten insbesondere auch durch die Krankenkassen. Dabei gibt 5 284 
Abs. 1 S. ı SGB V abschließend vor, zu welchen Zwecken die Krankenkassen 
Sozialdaten erheben und speichern dürfen. Für die Verarbeitung (und Nut- 
zung) dieser Daten regelt $ 284 Abs. 3 S. 1 Hs. 1 SGB V, dass die so erhobenen 
Sozialdaten grundsätzlich nur für die in Absatz ı genannten Zwecke verarbei- 
tet werden dürfen. Eine Verarbeitung (und Nutzung) dieser Daten für andere 
Zwecke, ist gemäß $ 284 Abs. 3 S. 1 Hs. 2 SGB V - in Übereinstimmung mit s 67b 
Abs. 1 SGB X - nur zulässig, sofern eine andere Rechtsvorschrift des Sozialge- 
setzbuchs dies anordnet oder erlaubt. Folglich bedarf die Übermittlung von 
Daten durch die Leistungserbringer zu Zwecken der wissenschaftlichen For- 
schung, Planung im Sozialleistungsbereich oder der Qualitätssicherung einer 
gesonderten Ermächtigungsgrundlage im Sozialgesetzbuch. Wie bereits unter 
Teil 2 A.III.1.b) (s. Kap. 1.4.3.1.2) dargelegt, geht dabei keine Sperrwirkung 
von den bereichsspezifischen Erlaubnistatbeständen des SGB V gegenüber dem 
SGB X aus. Vielmehr enthält das SGB V lediglich spezifischere Vorschriften, 
die im Einzelfall vorrangig anzuwenden sind, die jedoch darüber hinaus einen 
Rückgriff auf die allgemeinen Vorschriften nicht gänzlich verwehren. 


1.5.3.2.1 Nutzung zu Forschungszwecken ($ 287 SGB V) 


In Betracht käme zunächst die bereichsspezifische Regelung des 5 287 SGB V. 
Nach dieser dürfen Krankenkassen mit Erlaubnis der Aufsichtsbehörde die 
Datenbestände leistungserbringer- oder fallbeziehbar für zeitlich befristete 
und im Umfang begrenzte Forschungsvorhaben auswerten und aufbewahren. 
$ 287 SGB V ist jedoch ausschließlich auf die krankenkasseninterne Auswer- 
tung von leistungserbringer- oder fallbeziehbaren Daten zugeschnitten.» Die 
Ermächtigung umfasst weder die interne Verarbeitung von versichertenbe- 
ziehbaren Daten» noch die Übermittlung der Daten an externe Stellen zur 
Verarbeitung der Daten zu den beabsichtigten Zwecken. $ 287 SGB V stellt folg- 
lich keine geeignete Ermächtigungsgrundlage dar. 


1.5.3.2.2 Nutzung zur Qualitätssicherung ($ 299 SGB V) 


Gemäß $ 299 Abs. 1a SGB V sind Krankenkassen befugt und verpflichtet, die 
im Rahmen ihrer Aufgabenerfüllung nach s 284 Abs. ı SCB V erhobenen So- 
zialdaten für Zwecke der Qualitätssicherung zu verarbeiten und zu nutzen. 


133 Vgl. Ausführungen zu Szenario 1 Kap. 1.4.3.2.1, Abschnitt „Interne Fragestellungen“ und Kap. 1.4.3.2.2. 
134 Vgl. Didong, in: Schlegel/Voelzke, jurisPK-SGB V, 3. Aufl., 2016, $ 287 Rn. 8. 
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Der Gemeinsame Bundesausschuss nach $ 91 SGB V (G-BA) regelt in Beschlüssen 
und Richtlinien, welche konkreten Daten für die Verarbeitung und Nutzung 
zugelassen sind und legt die Empfänger fest. Die von der Krankenkasse zu über- 
mittelnden Sozialdaten sind in Anlage II Teil b) der Richtlinie zur einrichtungs- 
und sektorenübergreifenden Qualitätssicherung (Quesü-RL)' festgeschrieben. 
Dazu gehören beispielsweise die Stammdaten der Versicherten. Gemäß $ 9 
Abs. ı Satz 9, Teil ı Quesü-RL haben die Krankenkassen die Daten an die vom 
G-BA nach s 4 Abs. 5 Satz ı, Teil ı Quesü-RL beauftragte Datenannahmestelle 
(DAS-KK) zu übermitteln. Eine darüber hinaus gehende Übermittlung anderer 
Daten an andere Stellen ist nicht über $ 299 SGB V zu legitimieren. Vielmehr 
bedarf es in diesen Fällen einer gesonderten Rechtsgrundlage. 


Erfolgt eine Übermittlung von Sozialdaten i.R.v. $ 299 Abs. 1a SGB V, sind die 
versichertenbezogenen Daten grundsätzlich zu pseudonymisieren ($ 299 
Abs. 1a S. 3 i.V.m. Abs. 1 S. 4 Nr. 1 SGB V). Dies erfolgt entweder bei den Leis- 
tungserbringern selbst ($ 299 Abs. 2 S. 3 SGB V), bei einer vom G-BA beauftrag- 
ten eigenständigen Stelle ($ 299 Abs. 2 S. 3 SGB V) oder nach einer Vollerhebung 
über die ebenfalls vom G-BA beauftragte Vertrauensstelle (ş 11 Teil ı Quesü-RL). 
Nurin den Richtlinien und Beschlüssen des G-BA geregelten Ausnahmefällen 
ist eine Pseudonymisierung entbehrlich. Darüber hinaus sieht das Gesetz 
grundsätzlich nur eine stichprobenweise Datenerhebung vor, sodass eine Voll- 
erhebung ebenfalls nur im Rahmen der in den Richtlinien und Beschlüssen 
des G-BA geregelten Ausnahmefällen möglich ist ($ 299 Abs. 1a S. 3 i.V.m. Abs. ı 
S. 4 Nr. 1 SGB V). 


1.5.3.2.3 Nutzung im Rahmen der Datentransparenz (§ 303a ff. SGB V) 


Die ss 303a ff. SGB V schaffen eine Ermächtigungsgrundlage zur Übermittlung 
der im Rahmen des Risikostrukturausgleichs vom Bundesversicherungsamt 
erhobenen Daten in pseudonymisierter Form an das DIMDlin seiner Funktion 
als Datenaufbereitungs- und Vertrauensstelle. Mit Ausnahme des $ 303b Abs. 2 
SGB V, der die Ermächtigungsgrundlage für die Übermittlung verschlüsselter 
Regionalkennzeichen durch die Krankenkassen an das Bundesversicherungs- 
amt enthält, schaffen die ss 303a ff. SGB V ausschließlich eine Rechtsgrund- 
lage für die Übermittlung von Daten des Risikostrukturausgleichs durch das 
Bundesversicherungsamt, nicht jedoch für Übermittlung von Abrechnungs- 
daten durch die Krankenkassen. Folglich bilden auch die ss 303a ff. SGB V 
keine geeignete Ermächtigungsgrundlage. 


1.5.3.2.4 Übermittlung zu Zwecken der Forschung und Planung ($ 75 SGB X) 


Gemäß 5 75 Abs. 1SGB X ist die Übermittlung von Sozialdaten zulässig, sofern 
sie für ein bestimmtes Vorhaben der wissenschaftlichen Forschung im 


135 In der Fassung vom 20.04.2017. 
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Sozialleistungsbereich, der wissenschaftlichen Arbeitsmarkt- und Berufsfor- 
schung oder der Planung im Sozialleistungsbereich durch eine öffentliche 
Stelle im Rahmen ihrer Aufgaben erforderlich ist, schutzwürdige Interessen 
des Betroffenen nicht beeinträchtigt oder vom öffentlichen Interesse an der 
Forschung/Planung erheblich überwogen werden und die zuständige oberste 
Bundes- oder Landesbehörde die Übermittlung zuvor genehmigt hat ($ 75 
Abs. 4 SGB X). 


Die bisher vergleichsweise streng gefassten Anforderungen an ein im Vor- 
hinein bestimmtes Forschungsvorhaben hat der Gesetzgeber unter Berück- 
sichtigung der „Bedeutung der Forschung für die gesamtgesellschaftliche 
Entwicklung“ »° teilweise gelockert. Mit den neuen Regelungen verfolgt der 
Gesetzgeber das Ziel, sozialdatenbasierter Forschung weitere rechtliche Mög- 
lichkeiten zu eröffnen, die die Effektivität und Langfristigkeit der Forschungs- 
ergebnisse fördern, wobei ein „angemessener Ausgleich zwischen den Erfor- 
dernissen der Forschung auf der einen Seite und dem berechtigten Interesse 
der einzelnen betroffenen Personen an dem Schutz ihrer persönlichen Daten 
auf der anderen Seite“ hergestellt werden soll.’ 


Der hierzu eingefügte $ 75 Abs. 4a SGB X lautet: 


„Ergänzend zur Übermittlung von Sozialdaten zu einem bestimmten Forschungsvor- 
haben nach Absatz ı Satz ı kann die Verwendung dieser Sozialdaten auch für noch 
nicht bestimmte, aber inhaltlich zusammenhängende Forschungsvorhaben des glei- 
chen Forschungsbereiches beantragt werden. Die Genehmigung ist unter den Voraus- 
setzungen des Absatzes 4 zu erteilen, wenn sich der Datenempfänger gegenüber der 
genehmigenden Stelle verpflichtet, auch bei künftigen Forschungsvorhaben im For- 
schungsbereich die Genehmigungsvoraussetzungen einzuhalten. Die nach Absatz 4 
Satz ı zuständige Behörde kann vom Antragsteller die Vorlage einer unabhängigen 
Begutachtung des Datenschutzkonzeptes verlangen. Der Antragsteller ist verpflich- 
tet, der nach Absatz 4 Satz ı zuständigen Behörde jedes innerhalb des genehmigten 
Forschungsbereiches vorgesehene Forschungsvorhaben vor dessen Beginn anzuzeigen 
und dabei die Erfüllung der Genehmigungsvoraussetzungen darzulegen. Mit dem 
Forschungsvorhaben darf acht Wochen nach Eingang der Anzeige bei der Genehmi- 
gungsbehörde begonnen werden, sofern nicht die Genehmigungsbehörde vor Ablauf 
der Frist mitteilt, dass für das angezeigte Vorhaben ein gesondertes Genehmigungs- 
verfahren erforderlich ist.“ 


Somit soll der große Aufwand der Beantragung von Folgeforschungsvorhaben 
reduziert werden, wobei die in Erwägungsgrund 33 der DSGVO „getroffene 
Wertung, dass oftmals der Zweck der Verarbeitung personenbezogener Daten 
für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung 


136 BR-Drs. 430/18, S. 180. 
137 BR-Drs. 430/18, S. 180. 
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der personenbezogenen Daten nicht vollständig angegeben werden kann“, 
umgesetzt werden soll.“® Die Privilegierung ist dabei auf inhaltlich zusam- 
menhängende Forschungsvorhaben des gleichen Forschungsbereichs be- 
grenzt, wobei „einzelne Elemente der Forschungsfrage unterschiedlich“ sein 
können.» Gleichzeitig soll durch eine hinreichende Bestimmtheit, und wei- 
tere Kontrollrechte eine Absenkung des Schutzniveaus verhindert werden. '# 
Zur weiteren Vereinfachung enthält Satz 5 eine Genehmigungsfiktion, sofern 
nicht vor Ablauf einer Frist von acht Wochen nach Eingang der vollständigen 
Unterlagen die Genehmigungsbehörde ein gesondertes Genehmigungsver- 
fahren für erforderlich erklärt. Insbesondere letztere Regelung kann zu bes- 
serer Planungssicherheit und einer Beschleunigung der Verfahren führen. 
Gleichzeitig besteht hierbei das Risiko, dass ohne entsprechende Prüfung So- 
zialdaten verarbeitet werden und somit das Ziel der Verhinderung der Absen- 
kung des Schutzniveaus konterkariert werden könnte. Der zurückhaltend for- 
mulierte Wortlaut spricht jedoch lediglich davon, dass mit dem Forschungs- 
vorhaben „bereits begonnen“ werden darf. Ein nachträgliches behördliches 
Einschreiten bliebe möglich; vor dem Hintergrund der achtwöchigen Frist 
erscheint dieses Risiko jedoch angemessen. 


Im Einzelnen stellt sich die Anwendung des $ 75 SGB X wie folgt dar: 


Bestimmtes Vorhaben 


$ 75 Abs. 1 S. 1 SGB X kann eine Datenübermittlung grundsätzlich nur legiti- 
mieren, wenn diese für ein bestimmtes Vorhaben erfolgt. Die Beschränkung 
auf ein bestimmtes Vorhaben schließt die Übermittlung für generelle, nicht 
näher bestimmte Forschungs- und Planungszwecke zunächst aus.'* Darüber 
hinaus erweitern $ 75 Abs. 2 und 4a SGB X'* die zulässige Übermittlung im 
Einzelfall. Sofern eine entsprechende Genehmigung vorliegt, können zum 
einen weitere Sozialdaten für die Bearbeitung von mit dem Ausgangsvorhaben 
inhaltlich zusammenhängenden Forschungsfolgefragen bzw. die ursprüng- 
lich übermittelten Sozialdaten auch für inhaltlich mit dem Ausgangsvorhaben 
in Zusammenhang stehende Forschungsvorhaben des gleichen Forschungs- 
bereichs übermittelt werden. 


138 BT-Drs. 18/12611, S. 110. 

139 BT-Drs. 18/12611, S. 110. 

140 BT-Drs. 18/12611, S. 111. 

141 Zur wortgleichen Fassung des $ 75 Abs. 1 S. 1 SGB X a.F. Diering/Seidel, in: Diering/Timme, SGB X, 4. Aufl. 2016, 
§ 75 Rn. 4; BT-Drs. 12/5187, S. 40. 

142 $ 75 Abs. 2 SGB X lautet: „Ergibt sich aus dem Vorhaben nach Absatz 1 Satz 1 eine Forschungsfrage, die in 
einem inhaltlichen Zusammenhang mit diesem steht, können hierzu auf Antrag die Frist nach Absatz 4 Satz 5 
Nummer 4 zur Verarbeitung der erforderlichen Sozialdaten verlängert oder eine neue Frist festgelegt und 
weitere erforderliche Sozialdaten übermittelt werden.“ 
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Vorhaben im Bereich der wissenschaftlichen Forschung im Sozialleistungsbereich, 
der wissenschaftlichen Arbeitsmarkt- und Berufsforschung oder der Planung 
im Sozialleistungsbereich 


$75 Abs. 1 S. 1 SGB X kann zudem nur als Ermächtigungsgrundlage herange- 
zogen werden, wenn das Vorhaben im Bereich der wissenschaftlichen For- 
schung im Sozialleistungsbereich, der wissenschaftlichen Arbeitsmarkt-, so- 
wie Berufsforschung (Nr. 1) oder der Planung im Sozialleistungsbereich durch 
eine öffentliche Stelle im Rahmen ihrer Aufgaben (Nr. 2) angesiedelt ist. 


Bereich der wissenschaftlichen Forschung im Sozialleistungsbereich 


Für die Subsumtion eines Vorhabens unter den Bereich der wissenschaftli- 
chen Forschung im Sozialleistungsbereich ist es nicht erforderlich, dass sich 
das Forschungsvorhaben auf das Gebiet des Leistungsrechts beschränkt oder 
konzentriert. Vielmehr können auch Forschungsvorhaben mit volkswirt- 
schaftlichen, soziologischem oder medizinischem Schwerpunkt darunter fal- 
len, sofern etwaige Erkenntnisse mit gewisser Wahrscheinlichkeit auch im 
Sozialleistungsbereich von Bedeutung sein können. * Demzufolge kann über 
$ 75 Abs. ı SGB X die Übermittlung von personenbezogenen Sozialdaten für 
eine Vielzahl von (bestimmten) Forschungsvorhaben legitimiert werden, so- 
fern die zu erwartenden Erkenntnisse für den Sozialleistungsbereich von Be- 
deutung sein können. Dieser zu erwartende Nutzen muss im Genehmigungs- 
antrag ($75 Abs. 4 SGB X) im Einzelfall konkret dargelegt werden. Je weiter der 
eigentliche Forschungszweck dabei vom Sozialleistungsbereich entfernt ist, 
desto umfassender sind die Anforderungen an die Darlegung dieses Nutzens 
für den Sozialleistungsbereich. 


§ 75 Abs. 1 Nr. 2 SGB X 


Des Weiteren können Sozialdaten gemäß s 75 Abs. ı Nr. 2 SGB X auch zum 
Zweck der Planung im Sozialleistungsbereich übermittelt werden. Der Be- 
griff der Planung im Sozialleistungsbereich umfasst dabei im Wesentlichen 
die Bedarfs-, Bereitstellungs- und Finanzplanung.“ 


Empfangende Stelle 


Für die in $75 Abs. 1 S. 1 Nr. 1 SGB X genannten Zwecke der wissenschaftlichen 
Forschung im Sozialleistungsbereich kann die Übermittlung sowohl an eine 


143 Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 3. Aufl., 2013, § 75 Rn. 28. 

144 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, § 75 Rn. 14; Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 
2013, § 75 Rn. 28. 

145 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, § 75 Rn. 14 

146 Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, § 75 Rn. 28; vgl. dazu weitergehend Kap. 1.4.3.2.3. 
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öffentliche als auch an eine nicht-öffentliche Stelle erfolgen. Wesentliches 
Kriterium soll in diesem Zusammenhang allein die Seriosität der empfangen- 
den Stelle und deren Unabhängigkeit, sprich Freiheit von rein kommerziellen 
Forschungsinteressen, sein.” Die empfangende Stelle muss bei der Verarbei- 
tung besonderer Kategorien personenbezogenen Daten - Gesundheitsdaten - 
angemessene Sicherungsmaßßnahmen nach s 22 Abs. 2 BDSG vorsehen. Ist der 
Empfänger der Daten eine nicht-öffentliche Stelle muss sich diese zudem ge- 
mäß s 75 Abs. 4 S. 3 SGB X gegenüber der Genehmigungsbehörde vorab ver- 
pflichten, die Daten ausschließlich im Rahmen der vorgesehenen Zwecke zu 
verarbeiten. Zudem kann die genehmigende Behörde einer nicht-öffentlichen 
Stelle Auflagen erteilen, um die Einhaltung der gesetzlichen Vorgaben des $ 75 
SGB X sicherzustellen ($ 75 Abs. 5 SGB X). Aufsichtsbehörde für nicht-öffent- 
liche Stellen ist gemäß s 75 Abs. 6 SGB Xi.V.m. 540 Abs. ı BDSG die nach dem 
jeweiligen Landesrecht, der die nicht-öffentliche Stelle unterfällt, zuständige 
Behörde. Das sind regelmäßig die Landesbeauftragten für den Datenschutz. 


Werden die Daten gemäß $ 75 Abs. 1 S. ı Nr. 2 SGB X zu Zwecken der Planung 
im Sozialleistungsbereich übermittelt, ist der Kreis der Empfänger auf öffent- 
liche Stellen beschränkt, für die die Planung im entsprechenden Bereich im 
Rahmen ihrer Aufgaben liegt. Eine Übermittlung der Daten an eine nicht-öf- 
fentliche Stelle ist hier nicht zulässig. 


Zu übermittelnde Daten 


Gemäß des allgemeinen Erforderlichkeits- und Datenminimierungsprinzips 
(Art. 5 Abs. ı lit. c] DSGVO) schreibt auch $ 75 Abs. 1 S. 1 SGB X vor, dass eine 
Übermittlung von Sozialdaten nur zulässig ist, soweit sie für das jeweilige 
Vorhaben erforderlich ist. Demnach wird die Übermittlung auf die für das 
konkrete Forschungs- oder Planungsvorhaben erforderlichen Daten begrenzt. 
Gleiches gilt auch, sofern die Übermittlung weiterer Sozialdaten nach $ 75 
Abs. 2 SCB X genehmigt wurde. 


$ 67d Abs. 2 SGB X erweitert die Übermittlungsbefugnis auf für das konkrete 
Vorhaben nicht erforderliche Daten, wenn diese mit den Sozialdaten, für die 
eine Übermittlungsbefugnis besteht, derart verbunden sind, dass eine Tren- 
nung nicht oder nur mit unvertretbarem Aufwand verbunden ist und schutz- 
würdige Interessen des Betroffenen oder eines Dritten nicht überwiegen. Ein 
unvertretbarer Aufwand ist dabei nur zu bejahen, wenn die Daten derart phy- 
sisch miteinander verbunden sind, dass die Trennung einen erheblichen Zeit-, 
Personal- und/oder Kostenaufwand bedeuten würde. Dies ist nicht der Fall, 
wenn die Daten noch getrennt vorliegen oder mit technischen Hilfsmitteln 


147 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 16. 
148 Diering/Seidel, in: Diering/Timme, SGB X, 4. Aufl., 2106, $ 67d Rn. 4. 
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ohne größere Mühe herauskopiert werden können. Hinsichtlich der Abwä- 
gung der mit den ggf. bestehenden schutzwürdigen Interessen der Betroffe- 
nen, bedarf es einer Einzelfallbetrachtung, bei der die Art der Daten und die 
Folgen für den Betroffenen von erheblicher Bedeutung sind. Gemäß s 67d 
Abs. 2 Hs. 2 SGB X dürfen die überschießenden Daten ausschließlich mit über- 
mittelt, darüber hinaus aber nicht verändert oder genutzt werden. $ 67d Abs. 2 
Hs. 2 SGB X statuiert insoweit ein absolutes Verwertungsverbot für die über- 
schießenden Daten’. 


Keine Beeinträchtigung schutzwürdiger Interessen des Betroffenen oder 
überwiegendes öffentliches Interesse 


Die Übermittlung darf schutzwürdige Interessen der betroffenen Person nicht 
beeinträchtigen ($ 75 Abs. 1 S. 1 SGB X). Die Bestimmung schutzwürdiger In- 
teressen erfolgt unter Berücksichtigung objektiver und subjektiver Gesichts- 
punkte mit Blick auf den Grad der Sensibilität der Daten und die möglichen 
Folgen einer Übermittlung. Beachtlich sind in diesem Zusammenhang nicht 
nur die Interessen des Einzelnen, sondern auch aller Betroffenen zusammen ..:5? 
Da vorliegend regelmäßig besondere Kategorien personenbezogener Daten 
betroffen sind, sind aufgrund der besonderen Schutzwürdigkeit der Daten je- 
doch keine allzu hohen Anforderungen an ein schutzwürdiges Interesse zu 
stellen. Liegt ein schutzwürdiges Interesse vor, ist eine Beeinträchtigung der 
Schutzwürdigkeit gegeben, sofern die Übermittlung aus objektiver Sicht zu 
Nachteilen für den Betroffenen führen kann oder der Betroffene der Übermitt- 
lung bereits widersprochen hat.'s Eine pauschale Aussage, wann eine Beein- 
trächtigung eines schutzwürdigen Interesses gegeben ist, ist folglich nicht 
möglich. Vielmehr bedarf es einer genauen Betrachtung des Einzelfalls. 


Werden die schutzwürdigen Belange des Einzelnen beeinträchtigt, kann eine 
Übermittlung dennoch stattfinden, sofern das öffentliche Interesse an der 
Übermittlung und dem dahinterstehenden Vorhaben die Interessen des Be- 
troffenen erheblich überwiegt. Dabei sind aufseiten des öffentlichen Interes- 
ses der Nutzen und die Bedeutung des Vorhabens maßgeblich zu berücksich- 
tigen. Ein überwiegendes Interesse liegt etwa vor, wenn das Vorhaben für die 
weitere Aufgabenerfüllung der übermittelnden Stelle erforderlich ist und das 
Vorhaben ohne die Übermittlung unmöglich würde.’ Denkbar ist die Annah- 
me eines überwiegenden öffentlichen Interesses jedoch auch, wenn über die 
Ergebnisse ein erheblicher Nutzen für die Allgemeinheit zu erwarten ist. 


149 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 67d Rn. 107. 
150 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 67d Rn. 110. 
151 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 27f. 
152 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 25. 
153 Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 75 Rn. 44. 
154 Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 75 Rn. 47. 
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Anonymisierung 


$75 Abs. 1 S. 1SGB X legitimiert eine Übermittlung personenbezogener Sozial- 
daten nur, sofern dies für den jeweiligen Zweck erforderlich ist. Über die aus- 
drückliche Erwähnung des Erforderlichkeitsgebots hebt diese Vorschrift den 
Vorrang der Übermittlung anonymisierter Daten hervor.'ss Als für den Betrof- 
fenen mildere Form der Verarbeitung hat die Anonymisierung der Sozialdaten 
auch für den Bereich der Forschungs- und Planungszwecke Priorität.’ Eine 
Verarbeitung personenbezogener Sozialdaten kann nur erforderlich sein, 
wenn eine Anonymisierung nicht in Betracht kommt. Für besondere Katego- 
rien personenbezogener Daten, wie die im Rahmen der Abrechnungsdaten 
regelmäßig betroffenen Gesundheitsdaten, regelt $75 Abs. 35. 2 SGB X darüber 
hinaus, dass die Daten im Rahmen der Verarbeitung durch den Empfänger zu 
anonymisieren sind, sobald dies nach dem Forschungszweck möglich ist. Dies 
entspricht der Forderung des Art. 89 Abs. 1 Satz 4 DSGVO. Darüber hinaus sta- 
tuiert $284 Abs. 3 S. 2 SGB V eine Pflicht zur Löschung des Versichertenbezugs, 
wenn es sich bei den zu übermittelnden Daten um Daten handelt, die gemäß 
$ 295 Abs. ıb S. 1 SGB V von den Leistungserbringern an die Krankenkassen 
übermittelt wurden. 's 


Einwilligung 


$ 75 Abs. 1S. 2 SGB X regelt die Priorität der Einwilligung, wonach auch im 
Bereich der in $75 Abs. 1 S. 1 SGB X genannten Vorhaben eine Übermittlung 
grundsätzlich nur mit der vorherigen Einwilligung des Betroffenen zulässig 
ist, es sei denn, dies ist dem Verantwortlichen unzumutbar oder es handelt 
sich ausschließlich um explizit genannte Daten, die ausschließlich zu Befra- 
gungszwecken eingesetzt werden sollen ($ 75 Abs. 1 S. 3 SGB X).'5® Dabei müs- 
sen auch hier die oben genannten, grundlegenden Anforderungen an die Ein- 
willigung erfüllt sein, wobei ein besonderes Augenmerk auf die Gestaltung 
der Einwilligung im Hinblick auf die Freiwilligkeit zu richten ist.’ Im Hin- 
blick auf die Zweckbestimmung ist das konkrete Vorhaben im Rahmen der 
Einwilligung zu benennen und soweit möglich zu beschreiben. Für Einwilli- 
gungen in die Übermittlung zu Forschungszwecken besteht gemäß s 67b Abs. 3 
SGB X daneben jedoch auch die Möglichkeit eines Broad Consent. ° 


155 Vgl. Bieresborn, in: von Wulffen/Schütze, SGB X, 8. Aufl. 2014, $ 75 Rn. 6. 

156 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 40; Bieresborn, in: von Wulffen/Schütze, SGB X, 
8. Aufl. 2014, $ 75 Rn. 6. 

157 Vgl. hierzu oben Kap. 1.4.3.2.3, Abschnitt „Anforderungen an i.R.d. $ 295 Abs. 1b S. 1 SGB V übermittelte 
Daten“. 

158 Vgl. oben Kap. 1.4.3.2.3, Abschnitt: „Vorrang der Einwilligung ($ 75 Abs. 1 S. 2 SGB X)“. 

159 Vgl. oben Kap. 1.4.3.3. 

160 Hierzu sogleich Kap. 3.2. 


61 


| Rechtsgutachten zur Nutzung von Sozial- und Gesundheitsdaten (SAHRA-Projekt) 


Entbehrlichkeit 


Gemäß $75 Abs. 1 S. 3 SGB X ist die Einwilligung des Betroffenen immer dann 
entbehrlich, wenn lediglich Angaben zum Namen, Vornamen, Anschrift, 
Telefonnummer sowie zu für die Einleitung des Forschungsvorhabens zwin- 
gend erforderlichen Strukturmerkmalen der Person - hierzu gehören allge- 
meine Merkmale wie Alter, Herkunft, Berufsstatus'# - ausschließlich für Be- 
fragungen übermittelt werden. Mit dieser Ausnahmeregelung für Kontakt- 
daten zum Zweck der Befragung soll einer frühzeitigen, nicht mehr korrigier- 
baren Selektion und Verzerrung der Forschungsergebnisse begegnet werden. *® 
Sollen die Daten jedoch über die bloße Befragung hinaus verarbeitet werden, 
bedarf die Übermittlung einer gesonderten Ermächtigungsgrundlage. 


Darüber hinaus ist die Einwilligung entbehrlich, sofern die Einholung für die 
übermittelnde Stelle unzumutbar ist.'® Die Darlegungslast für die Unzumut- 
barkeit der Einholung der Einwilligungen obliegt derübermittelnden Stelle.“ 
Diese muss im Rahmen des Genehmigungsverfahrens die Gründe für die Un- 
zumutbarkeit im Einzelnen darlegen. 


Einwilligungserfordernis nach $ 76 SGB X (Schweigepflichtverlängerung) 


Trotz einer möglichen Entbehrlichkeit der datenschutzrechtlichen Einwilli- 
gung nach $ 75 Abs. 1 SGB X, besteht ein Erfordernis nach einer Schweige- 
pflichtentbindung (strafrechtlichen Einwilligungserklärung), sofern bei der 
Übermittlung solche Sozialdaten an einen Dritten übertragen werden, die die 
Krankenkassen originär von einem Arzt oder einer sonst nach 5 203 Abs. 1 StGB 
geheimnisverpflichteten Person erhalten haben. So heißt es in s 76 Abs. ı 
SGB X: 


„Die Übermittlung von Sozialdaten, die einer in s 35 des Ersten Buches genannten 
Stelle von einem Arzt oder einer Ärztin oder einer anderen in $ 203 Absatz ı und 3 des 
Strafgesetzbuches genannten Person zugänglich gemacht worden sind, ist nur unter 
den Voraussetzungen zulässig, unter denen diese Person selbst übermittlungsbefugt 
wäre.“ 


Für die von Ärzten übermittelten Abrechnungsdaten ist höchstrichterlich ent- 
schieden, dass diese Daten dem Schutzbereich des § 203 StGB unterfallen.*s 
Folglich darf der Sozialleistungsträger die Daten, die ihm beispielsweise von 
einem Arzt aufgrund der ss 284ff. SGB V übermittelt worden sind, nur an Dritte 


161 Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 75 Rn. 50.1; Rombach, in: Hauck/Noftz, SGB X, Stand: 
08/2017, $ 75 Rn. 40b. 

162 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 40b. 

163 Siehe dazu im Detail Kapitel 1.4.3.2.3, Abschnitt „Vorrang der Einwilligung“. 

164 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 33. 

165 BGH, Urteil vom 10.07.1991, VIII ZR 296/90. 
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übermitteln, wenn der Arzt vor dem Hintergrund des s 203 StGB selbst befugt 
wäre, diese Daten zu den entsprechenden Zwecken an den Dritten zu offen- 
baren. Eine Befugnis zur Offenbarung i.S.d. $ 203 StGB kann etwa anzuneh- 
men sein, wenn der Betroffene eine Schweigepflichtentbindung hinsichtlich 
der Weitergabe der Daten erteilt hat oder eine gesetzliche Offenbarungspflicht 
oder -befugnis besteht. Letzteres ist für Ärzte regelmäßig nicht gegeben. Für 
Ärzte selbst existieren keine gesetzlichen Ermächtigungsgrundlagen, die eine 
Weitergabe personenbezogener Daten zu Forschungszwecken erlauben. Im 
Einzelfallkann eine datenschutzrechtliche Norm zwar eine Befugnis zur straf- 
rechtlichen Offenbarung enthalten, wenn sich dies aus dem Wortlaut der be- 
treffenden Norm klar ergibt. Das Bundesverfassungsgericht sieht $ 203 StGB 
wegen des Merkmals „unbefugt“ als sog. Blankettnorm an'“, sodass auch 
landesrechtliche Gesetze und gegebenenfalls auf einer ausreichenden Ermäch- 
tigung beruhende Verordnungen eine Befugnis einräumen können. '” Selbst 
die in einigen Landeskrankenhausgesetzen enthaltenen Forschungsklauseln 
betreffen im Regelfall nur die krankenhausinterne Forschung und nicht die 
Weitergabe der Daten zu Forschungszwecken an externe Dritte. Diese Frage 
ist je nach einschlägigem Landesrecht im Einzelfall zu prüfen. Regelmäßig 
bedarf es einer Schweigepflichtentbindungserklärung des Betroffenen, um 
den Arzt von seiner Schweigepflicht zu entbinden und die Übermittlung zu 
legitimieren. 


Zwar wird nicht verlangt, dass die Rechtfertigungsgründe von Erstübermitt- 
lung und Zweitübermittlung identisch sind, sodass der an $ 76 SGB X gebun- 
dene Zweitübermittler auch andere Rechtfertigungsgründe heranziehen 
kann, auf die sich der originär an $ 203 StGB gebundene Erstübermittler hätte 
stützen können. Ein Sozialleistungsträger wird aufgrund der verlängerten 
ärztlichen Schweigepflicht aber in der Regel einer Schweigepflichtentbindung 
des Betroffenen benötigen, um die personenbezogenen Abrechnungsdaten der 
Ärzte zu Forschungszwecken an einen Dritten übermitteln zu können. Die 
Ausnahmetatbestände des $75 Abs. 1 S. 2 und 3 SGB X helfen hier nicht weiter. 
Vielmehr besteht dieses aus der strafrechtlich verankerten Geheimhaltungs- 
pflicht herrührende Zustimmungserfordernis neben dem datenschutzrecht- 
lichen Einwilligungserfordernis ($ 35 Abs. 2a SGB I). Ist die Einwilligung aus 
datenschutzrechtlicher Sicht entbehrlich, bedarf es bei Abrechnungsdaten 
dennoch einer Schweigepflichtentbindung. Die Schweigepflichtentbindung 
muss sich im Falle der Entbehrlichkeit der datenschutzrechtlichen Einwilli- 
gungjedoch nicht an den datenschutzrechtlichen Anforderungen messen las- 
sen. Vielmehr kommt auf dieser Ebene auch eine formlose, gar konkludente 
Erklärung in Betracht. Da dem Sozialleistungsträger aber auch hier im Streit- 
fall die Beweislast obliegt, ist eine schriftliche oder elektronische Einwilligung 


166 BVerfGE 55, 274 (324f.). 
167 Kircher, Der Schutz personenbezogener Gesundheitsdaten im Gesundheitswesen, 2016, S. 112 m.w.N. 
168 Bieresborn, in: v. Wulffen/Schütze, 8. Aufl. 2014, SGB X $ 76 Rn. 4-17a. 
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empfehlenswert. Inhaltlich muss die Erklärung lediglich die Entbindung von 
der Schweigepflicht in Bezug auf die zu benennenden Daten/Geheimnisse um- 
fassen. 


Es sei an dieser Stelle nochmals darauf hingewiesen, *® dass eine Weitergabe 
von pseudonymisierten Daten hingegen in aller Regel ohne Schweigepflicht- 
entbindung zulässig sein wird, da es insofern an einer Offenbarung im Sinne 
des $ 203 StGB fehlen wird. Eine solche liegt nämlich dann nicht vor, wenn 
für den Empfänger eines Geheimnisses die Kenntnis der betreffenden Person 
nicht möglich ist. Auch hier gilt also, dass eine Pseudonymisierung für den 
Empfänger eines Datensatzes mit einer Anonymisierung gleichzusetzen sein 
kann und eine persönlichkeitsrechtliche Relevanz daher nicht mehr fortbe- 
steht. 


Maßnahmen nach $ 22 BDSG 


Sofern wie bei der Übermittlung von Abrechnungsdaten besondere Kategorien 
personenbezogener Daten - Gesundheitsdaten - an Dritte übermittelt werden, 
fordert $ 67b Abs. 1 S. 4 SGB X, dass neben dem Erfordernis einer entsprechen- 
den Ermächtigungsgrundlage die Gewährleistung der in s 22 Abs. 2 BDSG be- 
schriebenen besonderen Schutzmaßßnahmen durch den Dritten sichergestellt 
sind (siehe hierzu bereits Kap. 1.4.4). 


Behördliche Genehmigung 


Gemäß ș 75 Abs. 4 SGB X bedarf die Übermittlung von Sozialdaten zu den in 
Absatz ı und 2 genannten Forschungs- und Planungszwecken für bestimmte 
Vorhaben der behördlichen Genehmigung. Zuständige Genehmigungsbehör- 
de ist die jeweilige oberste Bundes- oder Landesbehörde, die für den Bereich, 
aus dem die Daten herrühren, zuständig ist, mithin das im Einzelfall zustän- 
dige Bundes- oder Landesministerium ($ 75 Abs. 4 S. 1 SGB X). Entsprechend 
der Ermächtigung in $ 75 Abs. 4 S. 2 SGB X hat das Gesundheitsministerium 
diese Aufgabe für Anträge der GKV Anfang 2012 auf das Bundesversicherungs- 
amt übertragen, ° sodass entsprechende Genehmigungen seither beim Bun- 
desversicherungsamt zu beantragen sind. 


Genehmigungsantrag 


Der Genehmigungsantrag ist durch die empfangende Stelle zu stellen.” Er 
muss Ausführungen zu den wesentlichen Punkten des Vorhabens und den be- 
nötigten Daten enthalten. Dementsprechend ist zunächst das bestimmte Vor- 
haben und der betroffene Forschungs-/Planungsbereich i.S.d. $ 75 Abs. 1 S. 1 


169 Vergleiche bereits einleitend unter Kap. 1.4.2. 
170 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 41a. 
171 BT-Drs. 12/5187, S. 40. 


64 


1 Bewertung der Rechtslage ab 25.05.2018 


SGB X möglichst genau darzustellen. Soweit es sich um ein Forschungsvorha- 
ben im Sozialleistungsbereich handelt, welches aufgrund des Forschungs- 
gegenstands nicht eindeutig dem Sozialleistungsbereich zugeordnet werden 
kann, weil der Forschungsschwerpunkt in einem anderen Bereich liegt, ist 
zudem darzulegen, dass die zu erwartenden Ergebnisse auch für den Sozial- 
leistungsbereich von Relevanz sein können.” Darüber hinaus ist darzulegen, 
welche Sozialdaten benötigt werden, in welchen Phasen des Vorhabens diese 
relevant werden, welcher Personenkreis betroffen sein wird und für welchen 
Zeitraum die Daten zu dem entsprechenden Zweck verarbeitet werden sol- 
len.’ Des Weiteren sind im Antrag Ausführungen dazu zu machen, dass die 
Betroffeneninteressen nicht beeinträchtigt werden oder inwiefern das öffent- 
liche Interesse an dem Vorhaben diese überwiegt. Sofern die Übermittlung 
ohne Einwilligung und Anonymisierung erfolgen soll, sind die Gründe für die 
Unzumutbarkeit der Einholung der Einwilligungen sowie die einer Anonymi- 
sierung entgegenstehenden Gründe darzulegen.” 


Wird der Antrag entsprechend s 75 Abs. 2 SGB X auf die Genehmigung der Über- 
mittlung weiterer Sozialdaten für die Bearbeitung von Forschungsfolgefragen 
erstreckt, muss der inhaltliche Zusammenhang mit dem Ausgangsvorhaben 
dargelegt werden. Da der von $ 75 Abs. 2 SGB X geforderte inhaltliche Zusam- 
menhang dabei eher eng auszulegen ist, sind im Einzelfall detaillierte Anga- 
ben notwendig. Die Gesetzesbegründung nennt in diesem Zusammenhang 
beispielhaft die Änderung oder Erweiterung einzelner Elemente des For- 
schungsvorhabens, die den Charakter des Vorhabens als solchen nicht verän- 
dern." 


Werden, wie dies bei Abrechnungsdaten der Fall ist, besondere Kategorien 
personenbezogener Daten übermittelt, muss der Datenempfänger Angaben 
zu dem von ihm vorgehaltenen angemessenen und spezifischen Maßnahmen 
zur Wahrung der Interessen der Betroffenen i.S.d. $ 22 BDSG machen. Bei der 
Übermittlung der Daten an eine nicht-öffentliche Stelle hat der Empfänger 
zudem eine Verpflichtungserklärung dahingehend abzugeben, dass dieser die 
Daten entsprechend $ 78 Abs. 1 S. ıSCB X nur zu dem beantragten Zweck ver- 
arbeiten wird. 


Zudem ist gemäß $ 75 Abs. 1 S. 4 SGB X ein Datenschutzkonzept vorzulegen. 


Genehmigungsbescheid 


Liegt ein ordnungsgemäßer Antrag nach $ 75 Abs. 4 SGB X vor und sind alle 
Voraussetzungen des $ 75 Abs. 1 SGB X - sowie bei der erweiterten Genehmigung 


172 Vgl. Kap. 1.5.3.2.4, Abschnitt: „Bereich der wissenschaftlichen Forschung im Sozialleistungsbereich“. 
173 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 45. 

174 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 45. 

175 BT-Drs. 18/12611, S. 118. 
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der Absätze 2 bzw. ya - erfüllt, hat die Behörde die Genehmigung ohne 
einen Ermessensspielraum gegenüber dem Empfänger zu erteilen.‘ Die Ent- 
scheidung ergeht in Form eines Verwaltungsakts und ist dem Leistungsträger 
ebenfalls bekanntzugeben.'” Gemäß ş 75 Abs. 4 S. 5 SGB X muss die Genehmi- 
gung den Dritten, an den die Daten übermittelt werden, die Art der zu über- 
mittelnden Sozialdaten und den betroffenen Personenkreis sowie die wissen- 
schaftliche Forschung oder die Planung, zu der die übermittelten Sozialdaten 
verwendet werden dürfen genau bezeichnen. Darüber hinaus muss aus der 
Genehmigung der Tag hervorgehen, bis zu dem die übermittelten Sozialdaten 
verarbeitet werden dürfen. Zudem kann die Behörde unmittelbar mit dem Er- 
lass des Bescheides oder auch nachträglich Auflagen erteilen, ergänzen oder 
ändern. Ist der Empfänger eine nicht-öffentliche Stelle, hat die Behörde die 
Einhaltung der Vorgaben des s 75 SGB X über eben solche Auflagen sicherzu- 
stellen. 


Neben dem Antrag ist der Genehmigungsbehörde zudem ein Datenschutzkon- 
zept vorzulegen, aus dem hervorgeht, dass der Empfänger die technischen 
und organisatorischen Anforderungen des Datenschutzesi.S.d. Art. 32 DSGVO 
sowie den Grundsatz der Datenminimierung erfüllt. 


Löschung 


Grundsätzlich sind personenbezogene Daten zu löschen, sobald sie für den 
jeweiligen Zweck nicht mehr erforderlich sind ($ 304 Abs. 3 SGB V i.V.m. $ 84 
Abs. 2 SGB Xa.F.; vgl. Art. 17 Abs. ılit. a) DSGVO)'». Demzufolge müssten die 
Daten nach Abschluss des Forschungsvorhabens bzw. nach Ablauf des im Ge- 
nehmigungsbescheid genannten Zeitpunkts unmittelbar gelöscht werden. 
Um eine Nachprüfung der Forschungsergebnisse auf der Grundlage der auf- 
bereiteten Daten sowie die Verarbeitung der Daten für weitere Forschungsvor- 
haben gemäß Abs. 2 zu ermöglichen, bestimmt $ 75 Abs. 4 S. 6 SGB X jedoch, 
dass die Daten nach Ablauf des von der Genehmigungsbehörde für die Ver- 
arbeitung bestimmten Vorhabens bis zu zehn Jahre aufbewahrt werden kön- 
nen. Dabei obliegt es der Genehmigungsbehörde durch Auflagen zu bestim- 
men, wie lang und bei welcher Stelle (übermittelnde oder empfangende Stel- 
le) die Daten gespeichert werden können. Zudem kann sie weitere Auflagen 
für die verlängerte Speicherung erteilen. 


176 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 47. 

177 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 75 Rn. 47. 

178 BT-Drs. 18/12611, S. 118. 

179 $ 304 SGB V ist anpassungsbedürftig, da infolge der unmittelbaren Geltung des Art. 17 DS-GVO auch $ 84 SGB X 
angepasst wurde und der Löschbefehl nicht mehr in $ 84 SGB X normiert ist, sodass die Verweisung fehlerhaft 
ist. An dieser Stelle sei darauf hingewiesen, dass der Entwurf zum 2. DSAnpUG-EU die Streichung des Verweises 
auf § 84 Abs. 2 SGB X entsprechend vorsieht, vgl. BT-Drs. 19/4674, S. 143. 

180 BT-Drs. 18/12611, S. 119. 
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Möglichkeiten der Verweigerung der Herausgabe der Daten 
an eine externe Einrichtung trotz Vorliegens einer Einwilligung 


$ 75 SGB X erklärt die Datenübermittlung bei Vorliegen aller genannten Voraus- 
setzungen für zulässig. Damit ist der Leistungsträger im Einzelfall befugt, die 
Daten zu übermitteln. Eine Verpflichtung lässt sich aus dem Wortlaut des $ 75 
SGB X nicht herleiten.'® Auch die Einwilligung des Betroffenen verpflichtet 
den Verantwortlichen nicht, die Daten tatsächlich zu den genannten Zwecken 
zu übertragen. Vielmehr stellt die Einwilligung lediglich eine Befugnis dar. 


Fraglich ist jedoch, ob sich aus der behördlichen Genehmigung zumindest 
mittelbar eine Pflicht zur vollumfänglichen Übertragung der in der Genehmi- 
gung benannten Daten ergibt. Zwar stellt auch die Genehmigung zunächst 
lediglich eine Übermittlungsbefugnis und keine -verpflichtung dar. Jedoch 
kann sich die Genehmigung entsprechend dem Sinn und Zweck des gegen- 
ständlichen Vorhabens zu einer Verpflichtung verdichten. So kann die Ver- 
weigerung der Herausgabe einzelner Daten im Rahmen eines genehmigten 
Vorhabens die Gefahr einer selektiven Informations-/Forschungs-/Planungs- 
grundlage bergen und so zu einer Verzerrung der Forschungsergebnisse füh- 
ren. Dies entspräche dann jedoch nicht mehr dem behördlich genehmigten 
Vorhaben. Sofern die Genehmigung folglich bestimmte Datensätze bestimm- 
ter Personenkreise für ein Vorhaben umfasst, sind diese auch in Gänze zu 
übermitteln. Nur sofern eine solche Gefahr der Selektivität und der Ergebnis- 
verzerrung im Einzelfall plausibel ausgeschlossen werden kann, ließe sich 
entsprechend der obigen Ausführungen gegen eine Übermittlungspflicht ar- 
gumentieren. Darüber hinaus kann sich eine Übermittlungspflicht auch aus 
den konkreten vertraglichen Regelungen zwischen der übermittelnden und 
der empfangenden Stelle ergeben. 


Zwischenergebnis 


Zu Zwecken der wissenschaftlichen Forschung und Planung im Sozialleis- 
tungsbereich kommt eine Übermittlung von Sozialdaten gemäß $ 75 SGB X in 
Betracht, soweit die Genehmigung der zuständigen Genehmigungsbehörde 
vorliegt ($ 75 Abs. 4 SGB X). Diese Genehmigung ist zu erteilen, wenn die Vo- 
raussetzungen des $ 75 Abs. 1SGB X, sowie bei der erweiterten Genehmigung 
der Absätze 2 und 4a vorliegen. Dabei muss der Schwerpunkt des Vorhabens 
im Bereich der Forschung nicht zwingend auf dem Sozialleistungsbereich lie- 
gen. Ausreichend ist, dass die Forschungsergebnisse dem Sozialleistungsbe- 
reich mit gewisser Wahrscheinlichkeit dienlich sind. 


Gemäß s 75 Abs. 1, $ 76 SGB X ist für die Übermittlung von Sozialdaten in die- 
sen Bereichen grundsätzlich die Einwilligung der Betroffenen erforderlich. 


181 Hase, DuD 2011, 875 (876). 
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Zwar sieht $ 75 Abs. 1 SGB X auf datenschutzrechtlicher Ebene eine Ausnahme 
von diesem Erfordernis vor, sofern die Einholung unzumutbar ist. Aufgrund 
der Ausdehnung der Voraussetzungen der Geheimhaltungspflicht nach s 203 
StGB in $ 76 SGB X bedarf es jedoch - entsprechend den Anforderungen, die 
etwa ein Arzt einhalten müsste - auch in diesen Fällen grundsätzlich einer 
Einwilligung in Form einer Schweigepflichtentbindung. 


Entsprechend dem Grundsatz der Datenminimierung dürfen Sozialdaten nur 
ineinem Umfang übermittelt werden, der für die Zweckerreichung im jewei- 
ligen Vorhaben auch erforderlich ist. Eine unbegründete, wahllose Datenüber- 
mittlung dürfte daher regelmäßig im Genehmigungsverfahren scheitern. 
Zudem sind die Daten auch hier zu anonymisieren, soweit es der Forschungs- 
zweck zulässt. Darüber hinaus darf die Übermittlung keine schutzwürdigen 
Interessen der Betroffenen beeinträchtigen, es sei denn, das öffentliche Inte- 
resse an dem Vorhaben überwiegt diese erheblich. 


Der Empfänger muss über technische und organisatorische Maßnahmen si- 
cherstellen, dass die Rechte und Interessen der Betroffenen hinreichend ge- 
schützt werden und hat diese Maßnahmen im Genehmigungsverfahren über 
ein Datenschutzkonzept und entsprechende Nachweise zu belegen. Dabei ist 
es für den Bereich der wissenschaftlichen Forschung unerheblich, ob die emp- 
fangende Stelle eine öffentliche oder eine nicht-öffentliche Stelle ist. Letztere 
haben im Rahmen des Genehmigungsverfahrens lediglich zusätzliche Ver- 
pflichtungserklärungen zur zweckgebundenen Verarbeitung abzugeben. Für 
den Bereich der Planung kommen als Empfänger hingegen nur öffentliche 
Stellen in Betracht, das75 Abs. 1 S. 1 Nr. 2 SGB X fordert, dass die Planung zum 
Aufgabenbereich der jeweiligen Stelle gehört. 


In jedem Fall unterliegt auch die externe Stelle mit Erhalt der Sozialdaten dem 
Sozialgeheimnis nach ș 35 SGB I und hat dafür Sorge zu tragen, alle mit den 
Daten befassten Mitarbeiter entsprechend zu verpflichten. 


1.5.3.3 Einwilligung 


Die Übermittlung der Daten an eine externe Einrichtung zu Zwecken der wis- 
senschaftlichen Forschung, der Planung im Sozialleistungsbereich oder der 
Qualitätssicherung kann alternativ auf Grundlage einer Einwilligung des Be- 
troffenen erfolgen. Dabei sind die oben genannten allgemeinen und speziel- 
len/sozialrechtlichen Anforderungen an die Einwilligung zu beachten '#. Wie 
bereits oben unter A.III.3.a) (s. Kap. 1.4.3.3.1) ausgeführt, ist aufgrund des 
bestehenden Abhängigkeitsverhältnisses zwischen Leistungsträger und Be- 
troffenem besonderes Augenmerk auf die Gestaltung der Einwilligung im Hin- 
blick auf die Freiwilligkeit der Erklärung zu richten. 


182 Vgl. oben Kap. 1.4.3.3. 
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1.5.3.4 Auftragsverarbeitung 


Neben der Übermittlung der Daten an eine eigenständige externe Stelle ist es 
zudem denkbar, dass sich der Leistungsträger eines Auftragsverarbeiters be- 
dient, um die personenbezogenen Abrechnungs-/Sozialdaten zu Zwecken der 
Forschung, Planung oder Qualitätssicherung zu verarbeiten. Eine externe 
Stelle ist immer dann als Auftragsverarbeiter einzuordnen, wenn sie die Daten 
im Interesse und auf Weisungen des Verantwortlichen verarbeitet und keine 
wesentlichen Entscheidungen über Zweck und Mittel der Datenverarbeitung 
trifft. 8 


Art. 28 DSGVO enthält spezifische Regeln zur Ausgestaltung und Zulässigkeit 
der Auftragsverarbeitung. Darüber hinaus enthält $ 80 SGB X speziell für den 
Bereich des Sozialdatenschutzes weitere Vorgaben zur Auftragsverarbeitung. 
Da Art. 28 DSGVO keine Öffnungsklauseln in Bezug auf die Auftragsverarbei- 
tung enthält, ist fraglich, inwiefern diese bereichsspezifische nationale Norm 
mit der DSGVO in Einklang steht. Da die Auftragsverarbeitung jedoch als (aus- 
gelagerter) Verarbeitungsvorgang des Verantwortlichen zu verstehen ist, kön- 
nen weitergehende Regelungen durch die Mitgliedsstaaten getroffen werden, 
sofern innerhalb der DSGVO (Art. 6-10 DSGVO) Öffnungsklauseln für den kon- 
kreten Bereich der Datenverarbeitung existieren. Die Regelung des s 80 
SGB X ist folglich über die Öffnungsklauseln der Art. 6. Abs. ı lit. e), Abs. 2, 
Abs. 3S, 3, Art. 9 Abs. 2lit. b), h), j) DSGVO europarechtskonform. 


1.5.3.4.1 Ermächtigungsgrundlage 


Fraglich ist zunächst, ob die Weitergabe der Sozialdaten an einen Auftrags- 
verarbeiter ebenso wie die Weitergabe der Daten an einen Dritten einer ge- 
sonderten gesetzlichen Ermächtigungsgrundlage bedarf. 


Datenschutzrechtliche Ermächtigung 


Nach dem BDSG a.F. kam der Auftragsverarbeitung eine Privilegierung in der 
Form zu, dass eine Weitergabe der Daten an den Auftragsverarbeiter nicht als 
Übermittlung, sondern vielmehr als interne Nutzung der Daten verstanden 
wurde, die einer gesonderten Ermächtigungsgrundlage nicht bedurfte. Eine 
Weitergabe an den Auftragsverarbeiter war immer dann zulässig, wenn die 
Verarbeitung durch den Verantwortlichen selbst rechtmäßig war. Begründet 
wurde dies mit den Definitionen der ss 3 Abs. 4 Nr. 3, 3 Abs. 8 S. 2 und 3 
BDSG a.F., nach denen eine Übermittlung nur bei der Weitergabe der Daten 
an einen Dritten vorliegt, der Auftragsverarbeiter aber gerade kein Dritterist. 


183 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 4 Nr. 8 Rn. 7. 
184 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 113. 
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Die DSGVO greift diese Definition der Übermittlung nicht auf, sondern erfasst 
diese als Unterfall der Verarbeitung in Form der Offenlegung (Art. 4 Nr. 2 
DSGVO). Dabei liegt eine Offenlegung nach der DSGVO in jeder Weitergabe 
der Daten unabhängig von der Einordnung der empfangenden Stelle als Drit- 
ter oder Auftragsverarbeiter.' Dennoch wird in der Literatur das Fortbestehen 
der Privilegierung der Auftragsverarbeitung mit Verweis auf die historische 
Entwicklung und systematische Stellung der Auftragsverarbeitung sowie der 
Bedeutung der Auftragsverarbeitung auch im Rahmen der DSGVO befürwor- 
tet.'° Insbesondere die Tatsachen, dass die DSGVO die Regelungen zur Auf- 
tragsverarbeitung im Wesentlichen aus der Datenschutz-Richtlinie, in deren 
Rahmen eine Privilegierung der Auftragsverarbeitung angelegt war, über- 
nommen hat und dass der Auftragsverarbeiter streng an die Weisungen des 
Verantwortlichen gebunden ist und Art. 28 DSGVO detaillierte Anforderungen 
an die Auftragsverarbeitung stellt, sprechen dafür, dass die Weitergabe von 
Daten auch nach der DSGVO keines gesonderten Erlaubnistatbestands be- 
darf. Ohne eine Privilegierung der Auftragsverarbeitung würden die zahl- 
reichen besonderen Regelungen zur Auftragsverarbeitung in der DSGVO kei- 
nen Sinn ergeben. Folglich ist die Weitergabe der Abrechnungsdaten zu Zwe- 
cken der wissenschaftlichen Forschung, Planung im Sozialleistungsbereich 
sowie der Qualitätssicherung an einen Auftragsverarbeiter aus datenschutz- 
rechtlicher Sicht zulässig, sofern der Verantwortliche selbst zu einer Daten- 
verarbeitung zu den entsprechenden Zwecken legitimiert ist.'® Einer geson- 
derten Ermächtigungsgrundlage oder Einwilligung für die Weitergabe der 
Daten an den Auftragsverarbeiter bedarf es aus datenschutzrechtlicher Sicht 
daher nicht. 


Strafrechtliche Befugnis 


Fraglich istjedoch, inwiefern die Weitergabebefugnis aufgrund von $76SCBX 
durch den Geheimnisschutz nach $ 203 StGB begrenzt wird. $ 76 SGB X be- 
stimmt, dass die Übermittlung von Sozialdaten, die der Leistungsträger von 
einerin $203 Abs. 1 und 3 StGB genannten, zur Geheimhaltung verpflichteten 
Stelle erhalten hat, nurzulässigist, wenn die nach $ 203 Abs. ı und 3 StGB ver- 
pflichtete Person selbst zur Übermittlung befugt wäre. Verlangt wird dabei 


185 Herbst, in: Kühling/Buchner, DS-GVO, 2017, Art. 4 Nr. 2 Rn. 30f. 

186 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 13ff.; Schmitz/von Dall’Armi, ZD 2016, 427 (429, 
432); Schmidt/Freund, ZD 2017, 14; ebenso BayLDA, Auftragsverarbeitung nach der DS-GVO, Kurz-Papier vom 
26.10.2016, 1. Nach anderer Ansicht ist die Zulässigkeit der Verarbeitung auch beim Auftragsverarbeiter zu 
prüfen, vgl. etwa Dovas, ZD 2016, 512 (516); eine solche dürfte in der Regel jedoch gerechtfertigt sein. 

187 Schmidt/Freund, ZD 2017, 14 (15). 

188 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 13ff.; Schmidt/Freund, ZD 2017, 14 (15f.). 

189 Zur rechtmäßigen Verarbeitung von Sozialdaten durch den Leistungserbringer vgl. Ausführungen zu Szenario 1, 
s. Kap. 1.4.3.1.1. 

190 Ebenso Unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK), Kurz- 
papier Nr. 13, Auftragsverarbeitung, Art. 28 DS-GVO, Stand 16.02.2018, S. 2. 
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nicht die Identität der Rechtfertigungsgründe von Erstübermittlung und 
Zweitübermittlung; der an $ 76 SGB X gebundene Zweitübermittler kann also 
auch andere Rechtfertigungsgründe heranziehen, auf die sich der originär an 
$ 203 StGB gebundene Erstübermittler hätte stützen können.” 


Ob davon aber nur die Weitergabe der Daten an einen Dritten oder auch die 
Weitergabe an einen Auftragsverarbeiter erfasst ist, ist bisher nicht geklärt. 


Jegliche Offenbarung i.S.d. $ 203 StGB erfasst 


Der Begriff der Übermittlung stellt nach der DSGVO nicht mehr auf die Wei- 
tergabe der Daten an einen Dritten ab. Vielmehr ist nunmehr jegliche Über- 
mittlung an einen Empfänger eine Form der Verarbeitung im Sinne der Offen- 
legung. Dementsprechend ließe sich auch die Weitergabe der Daten an einen 
Auftragsverarbeiter unter den Begriff der Datenübermittlung subsumieren. 
Zudem besagt $ 35 Abs. 2aSGBI, dass die Berufsgeheimnisse sowie die gesetz- 
lichen Geheimhaltungspflichten unberührt bleiben und folglich umfassend 
neben den datenschutzrechtlichen Regelungen fortgelten sollen. Daraus ließe 
sich folgern, dass die gesetzliche Geheimhaltungspflicht des $ 203 StGB auch 
bei einer Verlängerung umfassend neben den datenschutzrechtlichen Pflich- 
ten gelten soll. Ist dies der Fall, wäre dem Leistungsträger jedoch jegliche Of- 
fenbarung gegenüber einem nicht gemäß ş 203 StGB zum Mitwissen Befugten 
und somit auch gegenüber dem Auftragsverarbeiter ohne die Einwilligung/ 
Schweigepflichtentbindungserklärung des Betroffenen unzulässig. 


Nur die Weitergabe an Dritte erfasst 


$ 76 SGB X beschränkt nach seinem Wortlaut - wie bereits bisher $ 76 Abs. ı 
SGB X a.F. - lediglich die Befugnis zur Übermittlung von besonders schutz- 
würdigen Sozialdaten. Entsprechend der Definition des Übermittlungsbegriffs 
ins3 Abs. 4 Nr. 3 BDSG a.F., nach der eine Übermittlung nur an Dritte, nicht 
aber an Auftragsverarbeiter erfolgen kann, wäre die Verlängerung des $ 203 
StGB nicht auf die Weitergabe der Daten an den Auftragsverarbeiter zu über- 
tragen. Für diese Auffassung spricht, dass mit dem 2. SGBÄndG der Wortlaut 
der Norm von „Offenbarung“, die jegliche Preisgabe von Daten an andere er- 
fasst, auf Übermittlung umgestellt wurde und damit vermeintlich bewusst 
ein engerer Kreis gezogen wurde.” Dass der Gesetzgeber im Rahmen des $ 76 
SGB X keine Ausführungen zu einem veränderten Geltungsbereich des $ 76 
SGB X gemacht hat, spricht dafür, dass ihm die Problematik nicht bewusst 
und keine Änderung gewollt war. Zudem ist zwar die Eigenschaft des Emp- 
fängers, Dritter zu sein, für eine Übermittlung nach der DSGVO nicht mehr 


191 Bieresborn, in: v. Wulffen/Schütze, 8. Aufl. 2014, SGB X $ 76 Rn. 4-17a. 
192 So im Ergebnis bei einem Vergleich zu $ 39 BDSG a.F. zur aktuellen Fassung Rombach, in: Hauck/Noftz, SGB X, 
Stand: 08/2017, $ 76 Rn. 9. 
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maßgeblich. Jedoch ist dies für eine Weitergabe der Daten an den Auftrags- 
verarbeiter auch nicht relevant, da dieser Vorgang lediglich einen Teil der in- 
ternen Verarbeitung durch den Verantwortlichen darstellt, der zulässig ist, 
wenn die Verarbeitung durch den Verantwortlichen ihrerseits zulässig ist und 
die gesetzlichen Vorgaben der Auftragsverarbeitung eingehalten werden. Die 
Weitergabe der Daten an einen Auftragsverarbeiter wäre folglich auch mit 
Blick auf $ 203 StGB ohne Einwilligung des Betroffenen zulässig. 


Exkurs: Übermittlungsbefugnis des Geheimnisträgers nach $ 203 StGB 


Ginge man von der erstgenannten Ansicht (s. Kap. 1.5.3.4.1 Abschnitt „Jeg- 
liche Offenbarung i.S.d. $ 203 StGB erfasst“) aus, wäre auch die Weitergabe 
der Daten durch den Leistungserbringer an den Auftragsverarbeiter nur zu- 
lässig, wenn der nach s 203 StGB unmittelbar Geheimnisverpflichtete - bei- 
spielsweise der Arzt - selbst zur Weitergabe berechtigt wäre. Dies war nach 
$ 203 StGB aa.F. nur der Fall, wenn der Arzt sich auf eine entsprechende gesetz- 
liche Ermächtigungsgrundlage, die Einwilligung des Patienten oder einen 
sonstigen strafrechtlichen Rechtfertigungsgrund stützen könnte. Dies ist bei 
der Übermittlung zu Forschungs- und Planungszwecken jedoch regelmäßig 
nicht der Fall. 3 


Diese Problematik löst sich auch nach Inkrafttreten des nunmehr geltenden 
$ 203 StGB nicht vollständig. Zwar wird durch $ 203 Abs. 3 StGB der Kreis der 
zum Mitwissen Befugten auf sonstige Personen, die an der beruflichen oder 
dienstlichen Tätigkeit des Geheimnisverpflichteten mitwirken, also etwa be- 
stimmte Auftragsverarbeiter, erweitert. Diese Erweiterung erstreckt sich je- 
doch nur auf Auftragsverarbeiter, die an der beruflichen oder dienstlichen 
Tätigkeit des Geheimnisverpflichteten mitwirken. Stellt man hier auf den Arzt 
und die für ihn geltenden Rechtsgrundlagen ab, erweist sich die Übertragung 
des Geheimnisschutzes nach $ 203 StGB als problematisch. Denn für einen 
Vertragsarzt gehört die Forschung oder Planung im Sozialleistungsbereich 
wohl nicht zu seiner beruflichen Tätigkeit, sodass ein Mitwirken nach dem 
nunmehr geltenden s 203 Abs. 3 StGB abzulehnen ist und eine zulässige Offen- 
barung ausscheidet. Für den Arzt einer Uniklinik gehört die Forschung hin- 
gegen zumeist zum Bereich seiner dienstlichen Tätigkeit, sodass ein Mitwir- 
kenan dieseri.S.d. $203 StGB möglich und eine Weitergabe der Daten an einen 
Auftragsverarbeiter zulässig ist. Eine solche Differenzierung dürfte in der Pra- 
xis kaum zu handhaben sein. Auch dies spricht letztendlich gegen eine Über- 
tragung der Geheimnisverpflichtung bei der Weitergabe der Daten an einen 
Auftragsverarbeiter. 


193 Hierzu siehe oben Kap. 1.5.3.2.4, Abschnitt „Einwilligungserfordernis nach $ 76 SGB X (Schweigepflichtverlän- 
gerung)“. 


72 


1 Bewertung der Rechtslage ab 25.05.2018 


Zwischenergebnis 


Wie die Prüfüberlegung (s. Kap. 1.5.3.4.1, Abschnitt „Exkurs: Übermittlungs- 
befugnis des Geheimnisträgers nach $ 203 StGB“) zeigt, würde die Ausweitung 
des Geltungsbereichs des $ 76 SGB X auf Auftragsverarbeiter im Einzelfall zu 
erheblichen Subsumtionsproblemen führen, sodass auch dies dafür spricht, 
die Weitergabe der Daten an den Auftragsverarbeiter vom Anwendungsbereich 
des $ 76 SGB X auszunehmen. 


1.5.3.4.2 Anforderungen nach $ 80 SGB X 


Bedient sich der Leistungsträger eines Auftragsverarbeiters, sind die zusätz- 
lichen Anforderungen des $ 80 SGB X sowie des Art. 28 DSGVO zu beachten. 


Gemäß 5 80 Abs. 1 SGB X hat der Verantwortliche die Einschaltung eines Auf- 
tragsverarbeiters der für ihn zuständigen Fach- oder Rechtsaufsicht (Bundes- 
versicherungsamt oder Sozialministerien der Länder) schriftlich oder elektro- 
nisch anzuzeigen. Die Anzeige muss dabei Angaben 


zum Auftragsverarbeiter, 

zu dessen technischen und organisatorischen Maßnahmen sowie 
zu den erteilten ergänzenden Weisungen, 

der Art der betroffenen Daten und Personenkreise 

der Aufgabe, deren Erfüllung die Einschaltung dient sowie 

zum Abschluss etwaiger Unterauftragsverhältnisse 


enthalten. Sofern der Auftragsverarbeiter seinerseits eine öffentliche Stelle 
ist, hat dieser seine Rechts- oder Fachaufsicht gleichermaßen rechtzeitig von 
der Beauftragung zu unterrichten. Die Rechtzeitigkeit der Anzeige soll der 
Aufsichtsbehörde die Möglichkeit der Stellungnahme oder Beratung vor 
Abschluss des Auftrages ermöglichen und ist entsprechend der Umstände 
im Einzelfall zu berechnen. In jedem Fall hat sie vor Auftragserteilung zu er- 
folgen. 


Eine Auftragserteilung an eine nicht-öffentliche Stelle ist gemäß s 80 Abs. 3 
SGB X nur zulässig, wenn bei dem Verantwortlichen selbst Störungen im Be- 
triebsablauf zu befürchten wären oder die übertragenen Arbeiten beim Auf- 
tragsverarbeiter erheblich kostengünstiger besorgt werden können. Insbe- 
sondere im Bereich der Forschung sind durchaus Vorhaben denkbar, beidenen 
der Aufwand Störungen im Betriebsablauf der Leistungsträger begründen oder 
die bei nicht-öffentlichen Stellen mit entsprechender Ausrüstung/Ausstattung 


194 Nach dem Entwurf für das 2. DSAnpUG-EU soll dies nicht gelten, wenn Dienstleister in der Informationstechnik, 
deren absolute Mehrheit der Anteile oder deren absolute Mehrheit der Stimmen dem Bund oder den Ländern 
zusteht, mit vorheriger Genehmigung der obersten Dienstbehörde des Verantwortlichen beauftragt werden; 
BT-Drs. 19/4674, S. 154. Die Regelung soll insbesondere der Förderung der Umsetzung der vom Bundeskabinett 
beschlossenen Vorhaben zur IT-Konsolidierung in der Bundesverwaltung dienen; BT-Drs. 19/4674, S. 402. 
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kostengünstiger durchgeführt werden können. Dabei ist im Rahmen der An- 
zeige an die Behörde der Fach- oder Rechtsaufsicht eine nachvollziehbare Dar- 
legung im Einzelfall erforderlich. Allgemein ist es aufgrund der erheblichen 
Restriktionen durchaus von Vorteil, öffentliche Stellen als Auftragsverarbeiter 
einzubinden. Ausgenommen von dieser Beschränkung sind lediglich Auftrags- 
verhältnisse über die Prüfung und Wartung automatisierter Verfahren oder 
von Datenverarbeitungsanlagen, bei denen ein Zugriff auf Sozialdaten nicht 
gänzlich ausgeschlossen werden kann ($ 80 Abs. 5 SGB X). 


Abschließend unterwirft $ 80 Abs. 4 SGB X den Auftragsverarbeiter der Auf- 
sicht und den Befugnissen des Bundes- oder Landesdatenschutzbeauftragten 
für den Datenschutz und die Informationsfreiheit bzw. der nach Landesrecht 
zuständigen Aufsichtsbehörde sowie den Straf- und Bußgeldvorschriften der 
ss 85 und 85a SGB X. 


Darüber hinaus regelt $ 80 Abs. 2 SGB X, dass eine Auftragserteilung nur zu- 
lässigist, wenn die Datenverarbeitung im Inland, in einem Mitgliedsstaat der 
EU oder des EWR, der Schweiz oder einem Staat, der die Kommission ein an- 
gemessenes Schutzniveau per Beschluss nach Art. 45 DSGVO bescheinigt hat, 
verarbeitet werden. Mit dieser Beschränkung soll sichergestellt werden, dass 
sensible Sozialdaten nicht in einen unsicheren Drittstaat gelangen und dort 
einem geringeren Schutz und weitergehenden Verarbeitungsmöglichkeiten 
unterliegen. ' 


1.5.3.4.3 Anforderungen nach Art. 28 DSGVO 


Die DSGVO enthält in Art. 28 umfangreiche Vorgaben für die Umsetzung einer 
wirksamen Auftragsverarbeitung. 


Zunächst muss die Auftragsverarbeitung auf einen zwischen den Parteien ge- 
schlossenen schriftlichen oder elektronischen Vertrag basieren. Diese Verträ- 
ge können individuell gestaltet sein oder auf (noch zu erstellenden) Standard- 
vertragsklauseln der Kommission oder der Aufsichtsbehörden beruhen. Not- 
wendige Inhalte des Vertrages sind: 


= Gegenstand und Dauer der Verarbeitung, 

Art und Zweck der Verarbeitung, 

die Art der personenbezogenen Daten, 

die Kategorien betroffener Personen sowie 

die Pflichten und Rechte des Verantwortlichen und 
die Pflichten des Auftragsverarbeiters, 


wobei Letztere in Art. 28 Abs. 3 S. 2DSGVO näher bestimmt sind (z.B. Weisungs- 
gebundenheit, Verschwiegenheitsverpflichtung der Mitarbeiter, Unterstüt- 
zung des Verantwortlichen). Die Beschreibung der Verarbeitung (Gegenstand, 


195 BT-Drs. 18/12611, S. 124. 
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Art, Zweck, betroffene Daten und Personen) sind „angemessen ausführlich“ 
zu beschreiben. Es ist darauf zu achten, dass die Zweckbestimmung ein- 
deutig beschrieben und erkennbar dem Verantwortlichen zugeordnet wer- 
den kann.” Aus der Beschreibung heraus muss ein Dritter wie etwa eine 
Datenschutzbehörde die Verarbeitungstätigkeit hinreichend klar einsehen kön- 
nen. Bei Pflichten und Rechten des Verantwortlichen ist an das Recht, über 
Löschung und Berichtigung der Daten und Auskünfte an Betroffene zu ent- 
scheiden, die Prüfung der generellen Zulässigkeit und Rechtmäßigkeit einer 
Datenverarbeitung wahrzunehmen und ausreichend Weisungen zu erteilen, 
zu denken. Darüber hinaus steht es den Parteien frei, weitere Regelungen 
zu treffen. 


Daneben ist eine grundlegende Voraussetzung, dass die ausgewählten Auf- 
tragsverarbeiter hinreichend Garantien dafür bieten, dass geeignete techni- 
sche und organisatorische Maßnahmen vorgehalten und eingesetzt werden, 
sodass die Verarbeitung im Einklang mit den Anforderungen der Verordnung 
erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. 
Dabei erfordert der Begriff der „Garantie“ zumindest ausreichende (vertrag- 
liche) Verpflichtungen sowie Nachweise des Auftragsverarbeiters, die eine 
sorgfältige und gewissenhafte Erbringung der Tätigkeit unter Einhaltung der 
Vorgaben der DSGVO wahrscheinlich machen.” Künftig kann der Nachweis 
hinreichender Garantien zudem unter Einhaltung genehmigter Verhaltens- 
regeln gem. Art. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens 
gem. Art. 42 DSGVO nachgewiesen werden. Der Verantwortliche bleibt dabei 
auch nach Erteilung des Auftrags zur Begleitung und Kontrolle der Auftrags- 
verarbeitung verpflichtet." Eine Zusammenarbeit mit Auftragsverarbeitern 
ist ab dem Zeitpunkt nicht mehr gestattet, ab dem entsprechende Garantien 
nicht mehr gewährleistet sind.” 


Des Weiteren enthält Art. 28 DSGVO die ausdrückliche Verpflichtung des Auf- 
tragsverarbeiters, Daten nur auf dokumentierte Weisung des Verantwortli- 
chen oder einer gesetzlichen Pflicht zu verarbeiten (Art. 28 Abs. 3 S. 2 lit. a] 
DSGVO) und Unterauftragsverhältnisse nur mit Einwilligung des Verantwort- 
lichen und bei Abschluss von Art. 28 Abs. 3 DSGVO entsprechenden Verträgen 
zu erteilen. 


196 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 65 unter Verweis auf Art-29-Datenschutzgruppe 
Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 
WP 169, 32. 

197 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 65. 

198 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 66. 

199 Vgl. hierzu Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 80. 

200 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 56. 

201 Hartung, in: Kühling/Buchner, DS-GVO, 2017, Art. 28 Rn. 60. 

202 Martini, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 28 Rn. 21. 
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1.5.3.4.4 Zwischenergebnis 


Die Weitergabe von Sozialdaten an einen Auftragsverarbeiter im Rahmen der 
Durchführung eines bestimmten Vorhabens im Bereich der wissenschaftli- 
chen Forschung oder der Planung im Sozialleistungsbereich ist ohne eine ge- 
sonderte Ermächtigungsgrundlage zulässig, sofern der Verantwortliche selbst 
zur Verarbeitung im entsprechenden Umfang befugt ist und die Vorausset- 
zungen des $ 80 SGB X sowie des Art. 28 DSGVO erfüllt sind. Dementsprechend 
ist ein Vertrag über die Auftragsverarbeitung mit den dort genannten Mindest- 
angaben zu erstellen und die Beauftragung der jeweiligen Aufsichtsbehörde 
anzuzeigen. Dabei ergibt sich hinsichtlich der Auswahl des Auftragsverarbei- 
ters eine Einschränkung dahingehend, dass nicht-öffentliche Stellen nur 
unter engen Voraussetzungen (bei dem Verantwortlichen sind ohne die Be- 
auftragung Störungen im Betriebsablauf zu befürchten oder die Beauftragung 
ermöglicht eine erheblich kostengünstigere Bearbeitung) beauftragt werden 
können. Eine Ausnahme von dieser Restriktion besteht nach $ 80 Abs. 5 SGB X 
lediglich für Auftragsverhältnisse zur Prüfung und Wartung automatisierter 
Verfahren der Datenverarbeitungsanlagen, auch wenn in diesem Rahmen ein 
Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 


1.5.3.5 Ergebnis 


Die Weitergabe von Sozialdaten an eigenverantwortlich handelnde externe 
Einrichtungen ist in den Bereichen der wissenschaftlichen Forschung, der 
Planung im Sozialleistungsbereich sowie der Qualitätssicherung in unter- 
schiedlichem Umfang möglich. 


Für die Qualitätssicherung ergibt sich die Befugnis zur Übermittlung allein 
aus der spezialgesetzlichen Norm des $ 299 SGB V, die eine Übermittlung aus- 
schließlich nach den Vorgaben der Beschlüsse und Richtlinien des G-BA legi- 
timiert. 


Für den Bereich der wissenschaftlichen Forschung ist die Übermittlung an ex- 
terne Stellen vornehmlich auf Grundlage von $$ 75, 76 SGB X möglich. Dabei 
stellen die $$ 75, 76 SGB X jedoch detaillierte Regelungen auf, deren Einhaltung 
im Rahmen eines obligatorischen Genehmigungsverfahrens überprüft wird. So 
stellen die vorzuhaltenden technischen und organisatorischen Maßnahmen, 
der Erforderlichkeitsgrundsatz und das grundsätzliche Einwilligungserforder- 
nis, welches aufgrund der Ausweitung des strafrechtlichen Geheimnisschutzes 
($ 203 StGB) auf die Übermittlung der von Ärzten stammenden Abrechnungs- 
daten nach $ 76 SGB X - auch nicht unter den in $ 75 SGB X genannten Voraus- 
setzungen- entbehrlich ist, die wesentlichen Anforderungen an die Zulässigkeit 
des Vorhabens dar. Festzuhalten bleibt abschließend, dass die Übermittlung 
von Sozialdaten zum Zweck der wissenschaftlichen Forschung einem strengen 
Genehmigungsvorbehalt unterliegt und in jedem Fall der Einwilligung der Be- 
troffenen (in Form einer Schweigepflichtentbindung) bedarf. 
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Für die Planung im Sozialleistungsbereich gestaltet sich die Übermittlung an 
eigenverantwortlich handelnde, externe Stellen ebenso wie im Bereich der 
Forschung. Einschränkend kommt hier hinzu, dass die externe Stelle nur eine 
öffentliche Stelle sein kann, bei der die Planung zum zugewiesenen Aufgaben- 
bereich gehört. 


Soll die externe Stelle als Auftragsverarbeiter eingebunden werden, bedarf dies 
nach hier vertretener Auffassung grundsätzlich keiner gesonderten Ermäch- 
tigungsgrundlage. Vielmehr ist die Einbindung als Teil der Verarbeitungstä- 
tigkeit des Verantwortlichen zulässig, wenn dieser zu der geplanten Form der 
Verarbeitung legitimiert ist und die zusätzlichen Anforderungen des Art. 28 
DSGVO sowie des $ 80 SGB X eingehalten werden. Neben dem Erfordernis eines 
Auftragsverarbeitungsvertrages ergibt sich aus s 80 Abs. 3 SGB X eine Ein- 
schränkung für die Beauftragung von nicht-öffentlichen Stellen, die nur unter 
den beschriebenen, sehr engen Voraussetzungen einbezogen werden können. 


1.5.4 Zulässigkeit der Datenumgänge durch die externe Einrichtung 
(hinsichtlich der jeweiligen Zwecke) 


1.5.4.1 Prüfungsmaßstab/ldentifikation des einschlägigen Datenschutzregimes 


Agiert die externe Stelle als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, stellt 
sich die Frage nach dem einschlägigen Datenschutzregime erneut. 


1.5.4.1.1 Rechtsnatur 


Allgemein richtet sich die Anwendbarkeit - abgesehen vom umfassenden Gel- 
tungsanspruch der DSGVO - im deutschen Datenschutzrecht nach der Rechts- 
natur des Verantwortlichen. Für öffentliche Stellen des Bundes sowie für 
nicht-öffentliche Stellen giltim Grundsatz das BDSG gemäß sı Abs. ıS.ıNr.ı 
und S. 2 BDSG. Auf öffentliche Stellen der Länder ist im Grundsatz das jewei- 
lige Landesdatenschutzgesetz anwendbar», nur in den Fällen des $ ı Abs. ı 
S. 1 Nr. 2 BDSG findet auch das BDSG auf diese Anwendung. 


1.5.4.1.2 Sonderfall Sozialdatenschutzrecht 


Gemäß şı Abs. 2 S. ı BDSG gehen andere Rechtsvorschriften des Bundes über 
den Datenschutz dem BDSG vor. Während dies in den meisten Fällen lediglich 
punktuell regelnde Normen des bereichsspezifischen Datenschutzrechts be- 
trifft, bei dem das BDSG außerhalb einer Tatbestandskongruenz als Auffang- 
norm weiter Anwendung findet, ist das Sozialdatenschutzrecht nach $ 35 SGB I 
i.V.m. $$ 67 ff. SGB X als Vollregelung konzipiert und regelt daher - mit 


203 Auf eine Anpassung an die DS-GVO kommt es nicht an. Auch ohne Anpassung kommen die mit der DS-GVO 
vereinbaren landesdatenschutzrechtlichen Vorschriften zur Anwendung. 
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Ausnahme der DSGVO - die Verarbeitung von Sozialdaten abschließend ($ 35 
Abs. 2 S. 1 SGB X). Ein Rückgriff auf das BDSG ist ausgeschlossen (vgl. $1 Abs. 2 
S. 2 BDSG). 


Gleichzeitig knüpft das Sozialdatenschutzrecht nicht an der Rechtsnatur der 
verantwortlichen Stelle an, sondern nennt zunächst - wie auch nach bisheri- 
gem Recht - in $ 35 Abs. ı SGB I die sozialdatenschutzverpflichteten Stellen. 
Während die Aufzählung im bisherigen $ 35 SGB I a.F. abschließend und nicht 
analogiefähig ist, * enthält nunmehr s 35 Abs. 6 SGB I eine Ausweitung der So- 
zialdatenschutzverpflichteten. Demnach sollen die Absätze ı bis 5 des $ 35 SGB I 
„neben den in Absatz ı genannten Stellen“ auch Anwendung auf solche Verant- 
wortliche oder deren Auftragsverarbeiter finden, die Sozialdaten im Inland 
(nicht im Rahmen einer Niederlassung in einem anderen EU- oder EWR-Staat) 
oder im Rahmen der Tätigkeiten einer inländischen Niederlassung verarbeiten. 


Diese Regelung ist problematisch. Die Anwendbarkeit eines bestimmten 
Datenschutzregimes wird nämlich nunmehr nicht mehr von der Anknüpfung 
an der Rechtsnatur oder einer festgelegten Anzahl an Stellen aus definiert, 
sondern knüpft am Charakter des Datums als Sozialdatum an. Der Begriff der 
Sozialdaten wird, wie oben bereits dargelegt, in $ 67 Abs. 2 S. 1 SGB X definiert 
und nimmt hierbei insbesondere Bezug auf eine Verarbeitung durch eine „in 
$ 35 des Ersten Buches genannten Stelle“. Damit ergibt sich ein teilweiser Zir- 
kelschluss, der das Potenzial einer ausufernden Anwendbarkeit des Sozial- 
datenschutzrechts, das unbestimmbar zu werden droht, birgt. Nach hier ver- 
tretener Ansicht ist eine restriktive Auslegung erforderlich, deren Bestim- 
mung angesichts einer unpassenden Äußerung in den Gesetzgebungsmate- 
rialien erschwert wird. Dort heißt es: 


„Stellen, die nicht in Absatz ı genannt und denen Sozialdaten übermittelt worden sind, 
sind gemäß s 78 Absatz ı Satz 2 SGB X verpflichtet, die Daten in demselben Umfang 
geheim zu halten, wie eine in Absatz ı genannte Stelle.“ 


Diese Begründung setzt also - anders als der Normtext - voraus, dass zunächst 
eine Übermittlung durch eine Stelle nach $ 35 Abs. ı SGB I vorliegt, die den 
Anknüpfungspunkt für das initiale Vorliegen von Sozialdaten liefert. Im Üb- 
rigen ist die Begründung allerdings ihrerseits widersinnig. Zum einen käme 
$78 SGB X - eo ipso - ohnehin zur Anwendung und bedürfte keiner Ausweitung 
des Anwendungsbereichs des Sozialgeheimnisses insgesamt. Zum anderen 
beinhaltet der Wortlaut des $ 78 Abs. 1 S. 3 SGB X bei strenger Lesart auch nur 
eine Geheimhaltungspflicht, die im Sozialgeheimnis (s.o.) gerade nicht zu 
sehen ist. Im Sinne einer, auch von $ 35 Abs. 2a SGB I ausdrücklich anerkann- 
ten, Unterscheidung von Geheimhaltungspflicht und Datenschutzrecht, ist 


204 Steinbach, in: Hauck/Noftz/Becker, SGB I, Stand 07/2014, $ 35 Rn. 22. 
205 BT-Drs. 18/12611, S. 105; gemeint war hier aber wohl $ 78 Abs. 1 S. 2 SGB X a.F., der in der neuen Fassung $ 78 
Abs. 1 S. 3 SGB X entspricht. 
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es zunächst konsequent, wenn gefordert wird, dass ein Empfänger die Sozial- 
daten wie ein Sozialleistungsträger „hüten“ muss. So wird unter anderem 
gefordert, dass Empfänger, die keine originären Normadressaten des Sozial- 
geheimnisses sind, gem. $ 2 Abs. 2 Nr. 2 Verpflichtungsgesetz auf das Sozial- 
geheimnis zu verpflichten sind. 


Allerdings wurde bisher auch ein weitergehendes Verständnis vertreten, wo- 
nach der Datenempfänger im Sinne des $ 78 Abs. 1 S. 2 SGB X a.F. in „dieselbe 
Schutzpflichtposition eingewiesen wird“ wie der „Datenabsender“ und da- 
durch zum „abgeleiteten (derivativen) Normadressaten des $ 35 SGB 1“ werde.” 
Das bedeute aber, dass diese Stelle die Daten auch wie ein Sozialleistungsträ- 
ger unter den Voraussetzungen der ss 68-76 SGB X a.F. verwenden dürfte. ?° 
Diese Beschränkung wird sowohl aus $ 78 Abs. 1 S. 3 SGB X a.F. gefolgert, der 
ansonsten überflüssig wäre”, als auch aus $78 Abs. 1S.1SGBX, da ansonsten 
die dort verortete „absolute Zweckbindung“ umgangen werden könnte. ?° 


Eben jene Argumentation könnte bei uneingeschränkter Anwendung des 5 35 
Abs. 6 SGB I aber beeinträchtigt werden, da dieser ausdrücklich auf die Absät- 
ze 1 bis 5 des $ 35 SGB I verweist und somit - vermittels $ 35 Abs. 2 SGB I - auch 
auf die ss 67ff. SGB X. 


Im Ergebnis ist daher eine dem Wortlaut prima facie zu entnehmende Aus- 
dehnung des Anwendungsbereichs über $ 35 Abs. 6 SGB I abzulehnen. 


Dennoch führt dies nicht dazu, dass hinsichtlich der Verarbeitungsvorgänge, 
die durch den Empfänger durchgeführt werden, wiederum auf das für ihn 
allgemein geltende Datenschutzrecht (z.B. das BDSG) zurückgegriffen werden 
müsste oder könnte. Vielmehr folgt auch die Verarbeitungsbefugnis zu dem 
konkreten Zweck, zu dem die Daten übermittelt wurden, unmittelbar aus $ 78 
Abs. 1 S. 1 SGB X („dürfen“).”" Die Geheimhaltungspflicht des $ 78 Abs. 1 S. 3 
SGB X umfasst im Übrigen auch die Einhaltung der weiteren Anforderungen 
an die Verarbeitung, wie etwa Anforderungen an technische und organisato- 
rische Maßnahmen, entsprechend den Vorgaben des für Stellen nach $ 35 
Abs. 1 SGB I geltenden Sozialdatenschutzes.?” 


1.5.4.2 Gesetzliche Ermächtigung 


Somit gibt $ 78 SGB X für die nach $ 75 SGB X übermittelten Daten vor, in 
welchem Umfang und auf welche Art und Weise die Verarbeitung durch den 


206 Kunkel, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 78 SGB X, Rn. 20. 
207 Kunkel, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 78 SGB X, Rn. 19. 
208 Kunkel, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 78 SGB X, Rn. 19. 
209 Kunkel, in: Schlegel/Voelzke, jurisPK-SGB X, 2013, $ 78 SGB X, Rn. 19. 
210 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 78 Rn. 25. 

211 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 78 Rn. 13ff. 

212 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 78 Rn. 11. 
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Empfänger der Daten erfolgen darf. Gemäß ş 78 Abs. 1 S. 1 SGB X dürfen Emp- 
fänger, die nicht in $ 35 SGB I genannt sind, die Daten ausschließlich zu den 
Zwecken speichern, verändern, nutzen, übermitteln, in der Verarbeitung ein- 
schränken oder löschen, zu denen sie ihnen befugtermaßen übermittelt wur- 
den (absolute Zweckbindung?). Dabei ist es unerheblich, ob die Stelle eine 
öffentliche oder nicht-öffentliche Stelle ist. Auch eine Weiterübermittlung 
durch die externe Einrichtung ist nurzulässig, wenn diese vom Zweck, der der 
Übermittlung durch den Sozialleistungsträger zugrunde liegt, umfasst sind. ”* 


Sofern im Rahmen von $78SCB Xa.F. noch darauf abgestellt wird, dass diese 
Befugnis nur für die konkrete Zweckbestimmung des einzelnen Vorhabens zu 
sehen ist und nicht auf die abstrakte Zweckbestimmung der Ermächtigungs- 
grundlage (hier $ 75 SGB X) abgestellt werden darf»”s, darf dies im Rahmen der 
wissenschaftlichen Forschung nicht dahingehend missverstanden werden, 
dass die Verarbeitung durch den Empfänger nunmehr doch von einer konkre- 
ten Zweckbestimmung abhängt und der Broad Consent ausgeschlossen ist. Es 
darf lediglich nicht auf den allgemeinen Zweck der wissenschaftlichen For- 
schung (oder Planung) abgestellt werden, sondern auf die jeweilige Zweckbe- 
stimmung im Einzelnen. Ist der Broad Consent oder eine erweiterte Geneh- 
migung nach 5 75 Abs. 4a SGB X Rechtsgrundlage für die Übermittlung, muss 
auch die Verarbeitung durch den Empfänger in der jeweiligen Breite zulässig 
sein. 


Neben der strengen Zweckbindung schreibt s 78 Abs. 1 S. 3 SGB X vor, dass der 
Empfänger der Daten die Daten in gleicher Weise wie der Verantwortliche nach 
$35 Abs. 1 SGB X geheim zu halten hat. Dies sichert zusätzlich zu der strengen 
Zweckbindungab, dass die Daten in einem dem Sozialgeheimnis unterliegen- 
den Bereich verbleiben und nicht unkontrolliert verbreitet werden. 


Für nicht-öffentliche Stellen fordert $78 Abs. 1 S. 2 SGB X, dass diese sich zuvor 
zu einer ebensolch zweckgebundenen Verarbeitung verpflichtet haben.” Zu- 
dem muss die nicht-öffentliche Stelle sicherstellen, dass die dort beschäftigten 
Personen, die die Sozialdaten entsprechend verarbeiten, auf ihre Pflichten 
nach Absatz ı, sprich die Pflicht zur Geheimhaltung und die strenge Zweck- 
bindung der Verarbeitung, hingewiesen wurden (5 78 Abs. 2 SGB X). 


1.5.4.3 Einwilligung 


Grundsätzlich kann die Einwilligung auf Grundlage von Art. 6 Abs. ı lit. a) 
DSGVO und Art. 9 Abs. 2 lit. a) DSGVO - mangels Beschränkung der Einwilli- 


213 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 78 Rn. 17ff. 

214 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 78 Rn. 21. 

215 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 78 Rn. 17. 

216 An dieser Stelle sei darauf hingewiesen, dass diese Verpflichtung nach dem Entwurf zum 2. DSAnpUG-EU 
nur dann erforderlich sein soll, wenn die nicht-öffentliche Stelle um die Übermittlung ersucht hat, vgl. BT- 
Drs. 19/4674, S. 154. 
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gungsmöglichkeit durch den nationalen Gesetzgeber - auch im Sozialrecht 
nicht generell ausgeschlossen werden. Eine solche lässt sich auch nicht ohne 
Weiteres aus $ 78 SGB X ablesen. Versteht man den $ 78 SGB X jedoch in seiner 
strengen Zweckbindung eng, schließt dieser die Verwendung der übermittel- 
ten Sozialdaten zu Zwecken der Einholung einer Einwilligung aus, wenn dies 
nicht ausnahmsweise von der Ermächtigungsgrundlage, die der Übermittlung 
der Daten durch den Leistungsträger zugrunde lag - etwa beider Einwilligung 
in Form des Broad Consent - erfasst ist. $ 78 SGB X soll eine strenge Zweckbin- 
dung des Empfängers herbeiführen und ihn auf die Verarbeitung zu den sich 
aus der Befugnis derübermittelnden Stelle ergebenden Zwecken ermöglichen. 
Darüber hinaus soll dem Empfänger eine Verarbeitung nicht möglich sein. 
Dementsprechend sperrt $ 78 SGB X für den Empfänger die Möglichkeit, eine 
Einwilligung für eine anderweitige Verarbeitung einzuholen. Dies ergibt sich 
daraus, dass der Empfänger die Daten nicht dazu verwenden darf, mit dem 
Betroffenen Kontakt aufzunehmen, um eine Einwilligung einzuholen. Dies 
ist vom Zweck, der die Übermittlung durch den Leistungsträger legitimierte, 
nicht mehr gedeckt. 


1.5.4.4 Auftragsverarbeitung 


Ist die externe Stelle selbst Auftragsverarbeiter, ist $ 78 SGB X nicht relevant. 
Die Verarbeitungsbefugnisse richten sich in diesem Zusammenhang streng 
nach den Weisungen des Verantwortlichen und nach der für diesen bestehen- 
den Verarbeitungsbefugnis. Eine darüberhinausgehende Verarbeitung durch 
den Auftragsverarbeiter ist weder für eigene noch für fremde Zwecke gestattet. 
Im Falle einer Unterbeauftragung durch eine als Auftragsverarbeiter agieren- 
den externen Stelle perpetuiert sich die Verantwortlichkeit des ursprünglichen 
Auftraggebers. 


Fraglich ist aber, ob die eigenverantwortliche, externe Stelle selbst befugt ist, 
einen Auftragsverarbeiter hinzuzuziehen und nach welchen Vorschriften sich 
die Auftragsverarbeitung dann richtet. Der Empfänger der Daten ist zu einer 
Verarbeitung entsprechend der Übermittlung der Daten an ihn zugrundelie- 
genden Zweckbestimmung berechtigt. Da die Weitergabe der Daten an einen 
Auftragsverarbeiter keinen eigenständigen Verarbeitungsvorgang darstellt, 
der einer gesonderten Ermächtigungsgrundlage bedarf, sondern vielmehr als 
Verarbeitung des Verantwortlichen im Rahmen seiner Befugnisse zu verste- 
hen ist, kann eine Weitergabe der Daten an einen Auftragsverarbeiter erfol- 
gen, sofern die Vorgaben des Art. 28 DSGVO sowie des $ 80 SGB X eingehalten 
werden. Letzterer ist vorliegend anwendbar, da der Auftraggeber nach s 78 
SGB X verpflichtet ist und damit allen Beschränkungen, die das Sozialgeheim- 
nis mit sich bringt, unterliegt. Dementsprechend richtet sich eine Auftrags- 
verarbeitung, bei der die externe Stelle Auftraggeber ist, ebenfalls nach s 80 
SGB X. 
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1.5.4.5 Anforderungen an „technische und organisatorische Maßnahmen“ 


Gemäß s 67b Abs. 1 S. 4 SCB X gilt s 22 Abs. 2 BDSG entsprechend. Hierzu kann 
auf die vorangehenden Ausführungen verwiesen werden. %7 


1.5.4.6 Genehmigungserfordernis und -anforderungen 


Im Rahmen von $ 75 SGB X besteht ein Genehmigungserfordernis bereits für 
die Übermittlung an die externe Einrichtung. Die Verarbeitung durch diese 
bedarf darüber hinaus grundsätzlich keiner gesonderten Genehmigung. Eine 
Ausnahme kann im Fall der erweiterten Genehmigung nach $ 75 Abs. 4a SGB X 
bestehen, bei der die Daten für einen bestimmten Bereich wissenschaftlicher 
Forschung genutzt werden sollen. Hier ist der Empfänger der Sozialdaten ver- 
pflichtet, die konkreten Vorhaben, zu denen die Daten verarbeitet werden 
sollen, vor dem Beginn des Vorhabens bei der Behörde, die die Genehmigung 
erteilt hat, anzuzeigen. Kommt diese Behörde zu dem Schluss, dass die Vor- 
aussetzungen nicht erfüllt sind, etwa weil der inhaltliche Zusammenhang 
fehlt, kann ein erneutes Genehmigungsverfahren nach $ 75 Abs. 4 SGB X er- 
forderlich werden. 


Hinsichtlich der Auftragsverarbeitung erfordert $ 80 Abs. 1 SGB X vorab eine 
Anzeige gegenüber der zuständigen Rechts- oder Fachaufsichtsbehörde.”® 


1.5.4.7 Ergebnis 


Aus $ 78 SGB X folgt sowohl die streng verstandene Zweckbindung hinsicht- 
lich einer Verarbeitung der Sozialdaten durch den Empfänger, der wieeinein 
$ 35 SGB I genannte Stelle an das Sozialgeheimnis gebunden ist, als auch die 
Befugnis zur Verarbeitung zu diesem Zweck. Auf sonstige Erlaubnistatbe- 
stände - insbesondere solche des allgemeinen Datenschutzrechts - kann nicht 
zur Weiterverarbeitung zurückgegriffen werden. Alternativ wäre es zwar mög- 
lich, eine Einwilligung nach den Vorgaben der DSGVO einzuholen, allerdings 
kann die externe Stelle als durch $ 78 Abs. 1 SGB X gebundener Empfänger die 
erhaltenen Daten nicht zum Zweck der Einholung einer solchen Einwilligung 
verwenden, sodass praktisch kaum ein Anwendungsfall bestehen dürfte. 


Eine Auftragsverarbeitung richtet sich in jedem Fall nach den Vorgaben des 
$ 80 SGB X, in dessen Rahmen sie auch zulässig ist. 


Die Verarbeitung nach einer Übermittlung ist von der Genehmigung nach $75 
Abs. 4 SGB X umfasst. Im Falle der Auftragsverarbeitung ist eine Anzeige 
gegenüber der Rechts- oder Fachaufsicht erforderlich. 


217 Hierzu siehe Kap. 1.4.4. 
218 Siehe hierzu bereits Kap. 1.5.3.4.2; vgl. Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 80 SGB X Rn. 69. 
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1.6 Beurteilung von Szenario 3 
1.6.1 Darstellung des Szenarios 


In diesem Szenario werden Sozialdaten von einer oder mehreren Einrichtun- 
gen der gesetzlichen Krankenversicherung zu übergeordneten Zwecken (z.B. 
medizinische Forschung oder übergeordnete Qualitätssicherungsaspekte) an 
eine externe Einrichtung (Datenplattform) übermittelt. Die externe Einrich- 
tung wiederum stellt diese Sozialdaten für bestimmte Vorhaben Dritten zur 
Verfügung, entweder in Form einer weiteren Übermittlung oder indem ano- 
nyme Auswertungsergebnisse zu konkreten Fragestellungen herausgegeben 
werden. 


Das Szenario 3 lässt sich somit in zwei Unterszenarios (3A und 3B) unterteilen: 


1.6.1.1 Szenario 3A 


In der Variante 3A erhält die externe Plattform Sozialdaten von unterschied- 
lichen Krankenkassen, führt diese zusammen und wertet sie selbst aus. Im 
Anschluss werden nur die anonymisierten Ergebnisse weitergegeben. 


1.6.1.2 Szenario 3B 


In Variante 3B erhält die externe Plattform Sozialdaten von den unterschied- 
lichen Krankenkassen, um diese nicht selbst auszuwerten, sondern mit den 
Daten der anderen Krankenkassen ggf. zusammenzuführen und zu Auswer- 
tungszwecken an eine abermals dritte Stelle zu übermitteln. 


1.6.2 Rechtfertigungsbedürftige Datenverarbeitungsvorgänge 


Wie auch in den vorangehenden Szenarien weisen wir daraufhin, dass ledig- 
lich die Übermittlung und weitere Verarbeitung personenbezogener Daten 
rechtfertigungsbedürftig ist. Liegen (faktisch) anonyme Daten, jedenfalls aus 
Sicht der empfangenden und weiterverarbeitenden externen Plattform sowie 
weiterer Empfänger vor, so sind diese ohne datenschutzrechtliche Restriktio- 
nen zulässig. 


Vorliegend kommen im Übrigen bei jedem Unterszenario mehrere rechtferti- 
gungsbedürftige Verarbeitungsschritte in Betracht. 


1.6.2.1 Szenario 3A 


Wie auch bei Szenario 2 ist hier jeweils eine Weitergabe der Daten durch die 
Krankenkasse an die Plattform erforderlich (s. Kap. 1.6.3.1). Anschließend 
werden die Daten zum Zweck der Auswertung durch die Plattform genutzt 
(s. Kap. 1.6.3.2). 
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1.6.2.2 Szenario 3B 


Wie auch in Szenario 3A müssen Sozialdaten von Krankenkassen an die exter- 
ne Plattform übermittelt werden, nun aber zum Zweck der Weiterübermitt- 
lung (s. Kap. 1.6.4.1). Die weitere Verarbeitung erfolgt als Weiterübermittlung 
der Sozialdaten an abermals Dritte (s. Kap. 1.6.4.2). 


1.6.3 Szenario 3A (Weitergabe an und Auswertung 
durch die externe Plattform) 


1.6.3.1 Zulässigkeit der Weitergabe durch den Leistungsträger 
(hinsichtlich der jeweiligen Zwecke) an die externe Plattform 


1.6.3.1.1 Prüfungsmaßstab/ldentifikation des einschlägigen Datenschutzregimes 


Hinsichtlich der Verarbeitungen durch die Krankenkassen bleibt es bei den in 
Kapitel 1.4.3.1 beschriebenen Rahmenbedingungen. 


1.6.3.1.2 Medizinische Forschung 
Gesetzliche Ermächtigung 


Hinsichtlich einer Übermittlung von Sozialdaten zu Forschungszwecken, ins- 
besondere zu medizinischen Forschungszwecken, kann im Wesentlichen auf 
die Ausführungen in Kapitel 1.5.3.2.4 verwiesen werden. Die Tatsache, dass 
die Daten verschiedener Krankenkassen bei der externen Plattform zusam- 
mengeführt werden, ist dann unproblematisch, wenn dieses Vorgehen vom 
jeweiligen Forschungsvorhaben und somit von der konkreten Zweckbestim- 
mung im Einzelfall umfasst ist und folglich für die Durchführung des For- 
schungsvorhabens erforderlich ist. 


Soll hingegen die externe Plattform Daten auf Vorrat speichern, die später ggf. 
zu Forschungszwecken verwendet werden könnten, so ist für eine Übermitt- 
lung keine Ermächtigungsgrundlage ersichtlich. 


Einwilligung 


Eine Übermittlung ist auf Grundlage einer Einwilligung zulässig. Hierzu kann 
auf die Ausführungen in Kapitel 1.5.3.3 verwiesen werden. 


Auftragsverarbeitung 


Eine Auftragsverarbeitung käme nur unter den in Kapitel 1.5.3.4 beschriebenen 
Voraussetzungen in Betracht. Zusätzlich ist darauf hinzuweisen, dass über 
eine Auftragsverarbeitung kein Datenumgang ermöglicht werden kann, der 
Daten anderer Krankenkassen betrifft. In einem solchen Fall würde der Auf- 
tragsverarbeiter, der dem Verantwortlichen zugerechnet werden muss, Daten 
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über Versicherte anderer Leistungsträger (auch) für den Auftraggeber ggf. er- 
heben, jedenfalls aber speichern. Diese Speicherung wäre nach $ 284 Abs. ı 
SGB V unzulässig, da sie über die dort konkreten Daten hinausgehen würde. 
Weiterhin müsste die Weisungsbefugnis der Auftraggeber auch bei kollidie- 
renden Weisungen der unterschiedlichen Auftraggeber wirksam werden kön- 
nen. Beide Anforderungen dürften bei der Arbeit mit Datenbeständen mehre- 
rer Leistungsträger in jeweiliger Weisungsabhängigkeit praktisch nicht durch- 
führbar sein, zumal der notwendige Konkretisierungsgrad der erforderlichen 
Verarbeitungsschritte regelmäßig nicht erreicht werden dürfte. Bestünden 
eigene Entscheidungsspielräume der externen Stelle hinsichtlich der Verarbei- 
tungen, so wäre dies als Auftragsverarbeitung ohnehin nicht abbildbar. 


1.6.3.1.3 Weitere Zwecke 


Für die Übermittlung zu anderen Zwecken sind gemäß s 67b Abs. 1 SGB X ent- 
sprechende Übermittlungstatbestände im SGB zu identifizieren. Für die hier 
beispielhaft genannten übergeordneten Qualitätssicherungsaspekte ist eine 
solche Norm nicht ersichtlich. Alternativ kommt die Einholung einer Einwil- 
ligung nach den Vorgaben der DSGVO in Betracht (s. Kap. 1.4.3.3). 


1.6.3.2 Zulässigkeit der Auswertung durch die externe Plattform 


Die Auswertungsbefugnisse entsprechen den Darstellungen in Kapitel 1.5.4. 


1.6.4 Szenario 3B (Weitergabe an und Weiterübermittlung 
durch die externe Plattform) 


1.6.4.1 Zulässigkeit der Übermittlung durch den Leistungsträger 
(hinsichtlich der jeweiligen Zwecke) 


1.6.4.1.1 Prüfungsmaßstab/ldentifikation des einschlägigen Datenschutzregimes 


Für eine Weiterübermittlung gilt das für die Verarbeitung durch eine externe 
Stelle anwendbare Datenschutzrecht, wie in Kapitel 1.5.4.1 dargestellt. 


1.6.4.1.2 Medizinische Forschung 
Gesetzliche Ermächtigung 


Hinsichtlich einer Übermittlung von Sozialdaten zu Forschungszwecken, ins- 
besondere zu medizinischen Forschungszwecken, kann auf die Ausführungen 
in Kapitel 1.6.3.1.2 verwiesen werden. Die Tatsache, dass die Daten verschie- 
dener Krankenkassen bei der externen Plattform ggf. zusammengeführt wer- 
den, und anschließend weiterübermittelt werden sollen, ist dann unproble- 
matisch, wenn dieses Vorgehen vom jeweiligen Forschungsvorhaben und 
somit von der konkreten Zweckbestimmung im Einzelfall umfasst ist und 
folglich für die Durchführung des Forschungsvorhabens erforderlich ist. 
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Auftragsverarbeitung 


Entsprechend $ 67d Abs. 3 SGB X ist auch eine Übermittlung von Sozialdaten 
über Vermittlungsstellen im Rahmen einer Auftragsverarbeitung zulässig. 
Hierbei würde im Ergebnis eine Übermittlung von der Krankenkasse an die 
weitere dritte Stelle vorliegen, die nur durch die Plattform als Auftragsver- 
arbeiter durchgeführt würde. 


Einwilligung 


Eine Übermittlung ist auf Grundlage einer Einwilligung zulässig. Hierzu kann 
auf die Ausführungen in Kapitel 1.5.3.3 verwiesen werden. Die Einwilligung 
muss sich auch auf die Weiterübermittlung beziehen. 


1.6.4.2 Zulässigkeit der Zusammenführung und Weitergabe 
durch die externe Plattform (hinsichtlich der jeweiligen Zwecke) 


Hinsichtlich einer Zusammenführung und Weiterübermittlung kommen die- 
selben Grundsätze, wie bei der Auswertung zum Tragen, da auch hier die ab- 
solute Zweckbindung nach 5 78 Abs. 1 SGB X eingreift (s. Kap. 1.5.4). Wenn die 
vorherige Übermittlung also die Zwecke der Weiterübermittlung umfasst, 
ergibt sich für den Empfänger auch eine entsprechende Befugnis aus $ 78 Abs. 1 
S. 1 SGB X. Die Wirkung des $ 78 SGB X perpetuiert sich anschließend auch 
gegenüber der weiteren Dritten. 


1.6.5 Anforderungen an „technische und organisatorische Maßnahmen“ 
Die Anforderungen an technische und organisatorische Maßnahmen entspre- 
chen denen der übermittelnden Stellen nach $ 35 Abs. 1 SGB I. 


1.6.6 Genehmigungserfordernis und -anforderungen 


Hinsichtlich der Genehmigungsanforderungen ergeben sich keine abweichen- 
den Besonderheiten zu den in Kapitel 1.5.4.6 dargestellten Grundsätzen. 


1.7  Sozialrechtliche Zulässigkeit der Zusammenführung 
von Sozialdaten mit weiteren Patientendaten 


1.7.1. Ohne Einbindung eines Treuhänders oder einer Vertrauensstelle 
Bei der Frage, ob Krankenkassen Sozialdaten mit weiteren Patientendaten zu- 


sammenführen dürfen, ist der streng zu verstehende s 284 Abs. 1 SGB V zu be- 
achten. Dieser bestimmt abschließend, zu welchen Zwecken Krankenkassen 
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Sozialdaten erheben und speichern dürfen. Eine Erhebung zu Forschungszwe- 
cken ist hiervon nicht umfasst. 


Denkbar wäre allenfalls die Legitimation über die Einholung einer Einwilli- 
gung nach der DSGVO. Hinsichtlich - hier maßgeblich in Rede stehender - 
Gesundheitsdaten besteht nach Art. 9 Abs. 2 lit. a)DSGVO aber die Möglichkeit 
der Mitgliedsstaaten, die Einwilligung auszuschließen. Es wäre daher mög- 
lich, $ 284 Abs. 1 SGB V derart zu interpretieren, dass eine abweichende Zweck- 
bestimmung auch durch eine Einwilligung nicht möglich sein soll. 


1.7.2 Mit Einbindung eines Treuhänders oder einer Vertrauensstelle 


Ohne eine eigenständige rechtliche Grundlage, die die Einbindung weiterer 
Stellen in der Funktion eines Datentreuhänders oder einer Vertrauensstelle 
ermöglicht, führt die Einbindung einer solchen Stelle nicht zu einer abwei- 
chenden Bewertung. Zwar wäre es sowohl aus grundrechtlicher Perspektive 
vertretbar, wie auch aus Gründen der Praktikabilität wünschenswert, eine 
gesonderte Stelle zu involvieren, die in einheitlichen, validierten Verfahren 
Anonymisierungsprozesse vornimmt und überwacht, sowie die Speicherung 
der Daten unter besonders hohen Anforderungen der Datensicherheit sicher- 
stellen kann. Allerdings müsste eben diese Stelle - wie auch jede andere Stel- 
le - zur Verarbeitung personenbezogener Daten befugt sein. 


1.7.3 Erstreckung der sozialrechtlich begründeten Genehmigung 
auf die Rechtmäßigkeit der Verwendung weiterer Gesundheitsdaten 


Existiert eine sozialrechtliche Genehmigung für die Verarbeitung personen- 
bezogener Daten, etwa nach $ 75 Abs. 4 SGB X für die Verarbeitung, umfasst 
diese grundsätzlich Verarbeitungsvorgänge bezüglich der in der Genehmigung 
benannten (Sozial-)Daten. Sollen auch andere Gesundheitsdaten - etwa von 
medizinischen Leistungserbringern (z.B. Ärzte, Krankenhäuser) - verarbeitet 
werden, richtet sich die Zulässigkeit der Verarbeitung dieser Daten nach den 
jeweils geltenden Normen und Erlaubnistatbeständen. Die sozialrechtliche 
Genehmigung kann diese nicht ohne Weiteres erfassen, auch wenn der Sinn 
und Zweck des Vorhabens eine solche Verarbeitung weiterer Daten voraussetzt. 
Dafür wäre eine gesonderte gesetzliche Anordnung erforderlich, die eine sol- 
che Erstreckungswirkung im Einzelfall vorsieht. Dies geht bereits aus $ 67d 
Abs. 2 SGB X hervor, der regelt, dass überschießende, also für das konkrete 
Vorhaben nicht benötigte Daten zwar übermittelt, nicht jedoch verarbeitet 
werden dürfen. Wenn eine solche Beschränkung bereits für Sozialdaten des 
gleichen Leistungsträgers gilt, kann eine Erstreckung auf andere Bereiche 
nicht ohne Weiteres möglich sein. 
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1.8 Löschverpflichtungen in den jeweiligen Szenarien 


1.8.1 Verlängerte Aufbewahrung zum Zweck der Nachvollziehbarkeit 
der Auswertungen 


Nach dem Grundsatz der Datenminimierung (Art. 5 lit. c) DSGVO) gilt, dass per- 
sonenbezogene Daten zu löschen sind, wenn sie nicht mehr für den Zweck, für 
den sie erhoben oder sonst verarbeitet wurden, benötigt werden. Diesen Grund- 
satz greift Art. 17 Abs. ı lit. a) DSGVO auf und statuiert eine entsprechende Lösch- 
verpflichtung des Verantwortlichen. Demnach wären die zu Forschungs- und 
Planungszwecken übermittelten Sozialdaten mit Abschluss des Forschungsvor- 
habens grundsätzlich zu löschen. Art. 17 Abs. 3 lit. b), c) und d) DSGVO regeln 
jedoch Ausnahmen von diesem Grundsatz, sofern die Verarbeitung zur Erfüllung 
einer rechtlichen Verpflichtung, der Wahrnehmung einer im öffentlichen Inte- 
resse liegenden Aufgabe oder in Ausübung der öffentlichen Gewalt (lit. b), aus 
Gründen des öffentlichen Interesses im Bereich der Gesundheit (lit. c) oder für 
im öffentlichen Interesse liegende Forschungszwecke erforderlich ist. Mit diesen 
Ausnahmeregelungen korrespondieren die Öffnungsklauseln der Art. 6 Abs. ı 
lit. c), e)sowie Art. 9 Abs. 2lit. h) und i) DSGVO, wodurch die nationalen Gesetz- 
geber die Möglichkeit erhalten, konkretisierende Vorschriften zu erlassen." 


Für den Bereich des nationalen Sozialdatenschutzes bestimmt $ 304 Abs. 1S. 1 
SGB V unter Verweis auf $ 84 Abs. 2 SGB X a.F., dass Sozialdaten, die bei den 
Krankenkassen, Kassenärztlichen Vereinigungen und Geschäftsstellen der 
Prüfungsausschüsse gespeichert sind, zu löschen sind, wenn ihre Speicherung 
unzulässig ist oder ihre Kenntnis für die rechtmäßige Erfüllung der Aufgaben 
der verantwortlichen Stelle nicht mehr erforderlich ist und kein Grund zu der 
Annahme besteht, dass durch die Löschung schutzwürdige Interessen des Be- 
troffenen beeinträchtigt werden. Darüber hinaus legt $ 304 Abs. ı SGB V 
Höchstfristen fest, nach denen die genannten Daten in jedem Fallzu löschen 
sind, sofern sie im Einzelfall mit entsprechender Rechtsgrundlage über den 
nach $ 84 Abs. 2 SGB X bestimmten Zeitraum gespeichert werden. Vor dem 
Hintergrund der unmittelbaren Regelung durch Art. 17 DSGVO und des daran 
angepassten $ 84 SGB X ergibt sich Änderungsbedarf für $ 304 SGB V, dessen 
Inbezugnahme des 5 84 Abs. 2 SGB X a.F. ab dem 25.05.2018 obsolet sein wird. 


Für den Bereich der wissenschaftlichen Forschung und Planung enthält $ 75 
SGB X eine Sondervorschrift für die Aufbewahrung der zu Forschungs- und 
Planungszwecken i.S.d. $ 75 Abs. 1 SGB X an eine externe Einrichtung über- 
mittelten Daten. So besagt $ 75 Abs. 4 S. 6 SGB X, dass die zu Forschungs- und 
Planungszwecken i.S.d. $ 75 Abs. 1 SGB X übermittelten und verarbeiteten 
Daten bis zu 10 Jahre über den Zeitpunkt, den die Genehmigungsbehörde für 
die zulässige Verarbeitung nach $75 Abs. 4 S. 5 Nr. 4 SGB X festgelegt hat, hi- 


219 Herbst, in: Kühling/Buchner, DS-GVO, 2017, Art. 17 Rn. 74, 79. 
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naus gespeichert werden dürfen, um eine Nachprüfung der Forschungsergeb- 
nisse sowie eine weitere Verarbeitung für Forschungsfolgefragen nach $ 75 
Abs. 2 SGB X zu ermöglichen. 


Es obliegt der Genehmigungsbehörde, durch Auflagen zu bestimmen, wie 
lang und bei welcher Stelle (übermittelnde oder empfangende Stelle) die Daten 
gespeichert werden können.” Zudem kann sie weitere Auflagen für die ver- 
längerte Speicherung erteilen. Eine längere Verarbeitung im Sinne der bloßen 
Aufbewahrung ist hierüber gerechtfertigt. Die Verarbeitung im Rahmen der 
konkreten Nachprüfung oder weiteren Forschungsfrage wird sich in aller Re- 
gel auf dieselben Rechtmäßigkeitstatbestände stützen können wie das ur- 
sprüngliche Forschungsvorhaben und bedürfte ggf. einer eigenen Genehmi- 
gung. Kommt es nicht zu einer Nachprüfung oder Forschungsfolgefrage, wä- 
ren die Daten zu löschen. Werden sie hingegen zu weiteren Forschungsfragen 
herangezogen, spricht viel dafür, die Daten auch zur Nachprüfung der dadurch 
erreichten Forschungsergebnisse erneut 10 Jahre aufbewahren zu können. 


Ohne eine entsprechende Genehmigung oder nach Ablauf der in der Genehmi- 
gung festgelegten Frist, sind die zu Forschungszwecken übermittelten Daten 
zu löschen, sofern sie für das konkrete Forschungsvorhaben oder eine bereits 
bestehende Folgefrage nach $ 75 Abs. 2SGB X nicht mehr erforderlich sind. 


$ 84 SGB X regelt zudem Einschränkungen der Löschverpflichtungen. Gemäß 
$84 Abs. 1 SGB X kann bei einer nicht-automatisierten Verarbeitung von einer 
Löschung abgesehen werden, wenn die Löschung auf Grund der Art der Spei- 
cherung nicht oder nur mit unverhältnismäßigem Aufwand möglich, das 
Interesse des Betroffenen an der Löschung gering ist und die Verarbeitung 
rechtmäßig war. Stattdessen ist die Verarbeitung dieser Daten gemäß Art. 18 
DSGVO einzuschränken und somit die Daten für eine weitere Verarbeitung zu 
sperren. Eine Sperrung der Daten ist nach $ 84 Abs. 4 SGB X auch erforderlich, 
sofern der Löschung nach dem Wegfall des Zwecks satzungsmäßige oder ver- 
tragliche Aufbewahrungsfristen entgegenstehen. 


Somit bleibt für Szenario ı festzuhalten, dass die Krankenkassen die bei ihnen 
gespeicherten Sozialdaten (bisher) gemäß $ 304 Abs. 1 SGB V a.F. bzw. (zukünf- 
tig) gemäß Art. 17 DSGVO i.V.m. 5 84 SGB X (ggf. i.V.m. einem neuen $ 304 
SGB V) unverzüglich zu löschen haben, wenn diese Daten nicht mehr für die 
Erfüllung der ihnen übertragenen Aufgaben erforderlich sind. Dürfen die 
Daten auf Grund einer Rechtsvorschrift länger aufbewahrt werden, sind die 
Daten spätestens mit Ablauf der Höchstfrist zu löschen. Es spräche im Fall des 
unveränderten Fortbestehens des geltenden $ 304 SGB V viel dafür, dem jün- 
geren Recht des es neuen $ 75 SGB V Vorrang zu gewähren und im Falle der 
Verarbeitung von Sozialdaten zu Forschungszwecken die Höchstfristen des 
$ 304 SGB V nicht anzuwenden. 


220 BT-Drs. 18/12611, S. 119. 
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Für die Szenarien 2 und 3 bestimmt $75 Abs. 4 S. 6 SGB X darüber hinaus, dass 
die zu Forschungs- und Planungszwecken entsprechend der Festlegungen der 
Genehmigungsbehörde über den für das Forschungsvorhaben selbst festge- 
legten Zeitpunkt hinaus 10 Jahre aufbewahrt werden können, um zum Zwecke 
der Nachprüfung der Forschungsergebnisse sowie der Bearbeitung von For- 
schungsfolgefragen verarbeitet werden zu können. 


1.8.2 Anwendbarkeit des $ 304 SGB V auf eine externe Einrichtung 


Auch die externe Einrichtung hat die Daten gemäß Art. 17 DSGVO grundsätz- 
lich zu löschen, sobald deren Verarbeitung für den jeweiligen Zweck nicht 
mehr erforderlich ist. Sofern die externe Stelle die Daten gemäß 575 SGB X von 
einem Leistungsträger erhalten hat, kommt eine weitergehende Aufbewah- 
rung der Daten zum Zwecke der Nachprüfung der Forschungsergebnisse sowie 
der Bearbeitung von Forschungsfolgefragen in Betracht, soweit und solange 
die gemäß s 75 Abs. 4 SGB X zuständige Behörde die Aufbewahrung durch die 
externe Stelle genehmigt hat. 


Eine Übertragung der allgemeinen Aufbewahrungsfristen nach 5 304 SGB V er- 
gibt sich in diesem Zusammenhang jedoch nicht. Zwar ist die externe Stelle 
gemäß 578 Abs. 1S. 3 SGB X gleichermaßen zur Geheimhaltung nach $ 35 SGB I 
wie der verantwortliche Leistungsträger verpflichtet. Daraus folgt jedoch 
nicht, dass alle für diese geltenden Regelungen gleichermaßen auf die externe 
Stelle zu übertragen sind. $ 304 SGB V sichert die begrenzte Speicherung von 
Sozialdaten durch die Krankenkassen ab. Die Kassen sollen lediglich die Daten 
aufbewahren dürfen, die sie zur Erfüllung der ihnen übertragenen Aufgaben 
benötigen. Alle anderen Daten sind nach der Zweckerreichung zu löschen. In 
diesem Sinn ist es nicht erforderlich, auch eine externe Stelle den Vorgaben 
des $ 304 SGB V zu unterwerfen. Vielmehr ist die externe Stelle gemäß Art. 17 
Abs. ı DSGVO i.V.m. $84 SGB X verpflichtet, die ihr übermittelten Daten nach 
der Erreichung des Zwecks zu löschen, sofern nicht eine gesetzliche Vorschrift - 
etwa $ 75 Abs. 4 S. 6 SGB X - eine längere Aufbewahrung für zulässig erklärt. 


1.8.3 Erfüllung der Löschverpflichtung durch Anonymisierung 


Das deutsche Datenschutzrecht definierte bisher das Löschen als das „Un- 
kenntlichmachen gespeicherter personenbezogener Daten“ (vgl. s 3 Abs. 4 
Nr. 5BDSGa.F., $s 67 Abs. 4S. 2 Nr. 5 SGB X a.F.). Hierzu war anerkannt, dass 
eine Löschung durch eine physische Vernichtung oder auch durch sicheres 
Überschreiben erfolgen kann." Mit der Löschung der Daten entfällt die An- 
wendbarkeit des Datenschutzrechts. Die gleiche Wirkung kann mit einer An- 


221 BeckOK DatenSR/Brink, 20. Ed. 1.2.2017, BDSG $ 35 Rn. 26, beck-online. 
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onymisierung erreicht werden.” Es stellt sich daher die Frage, ob ein Lösch- 
anspruch gleichermaßen mit einer Anonymisierung von Daten erfüllt werden 
kann. Die Anonymisierung hätte den großen Vorteil für den Verantwortlichen, 
dass die nach erfolgreicher Anonymisierung verbleibenden (nicht mehr per- 
sonenbezogenen) Einzelangaben, beispielsweise zum Zweck statistischer Aus- 
wertungen, weiterverwendet werden könnten. Ihnen kommt somit unter 
Umständen weiterhin ein erheblicher Wert zu, der bei einer vollständigen 
Löschung verloren gehen würde. Gleichzeitig endet aber auch die Betroffen- 
heit der informationellen Selbstbestimmung mit Entfall des Personenbezugs. 


Bereits nach alter Rechtslage war daher wohl anerkannt, dass auch die Anony- 
misierung von Daten eine Form der Löschung darstellen kann.” Dies ergibt sich 
nicht unmittelbar aus dem Wortlaut des Gesetzes, doch Sinn und Zweck der 
Vorschrift sprechen dafür, da eine Anonymisierung die vollständige Aufhebung 
des Personenbezugs darstellt.” Die herrschende Meinung ging davon aus, dass 
der Betroffene nach s 35 BDSG a.F. statt der Löschung erst recht eine Anonymi- 
sierung oder Pseudonymisierung verlangen konnte.” Technisch muss insge- 
samt ein Datenbestand geschaffen werden, der die personenbezogenen Daten 
nicht mehr enthält.‘ Eine getrennte Speicherung reicht nicht aus.’ 


Die DSGVO enthält keine Legaldefinition der Löschung. Neben dem Begriff 
der Löschung nennt die DSGVO aber auch den der Vernichtung als Unterfall 
der Verarbeitung der ebenfalls in Art. 4 Nr. 2DSGVO. Aus dieser Unterschei- 
dung lässt sich ableiten, dass eine Löschung nicht zwingend eine Vernichtung 
voraussetzt.”®Es sind jedoch keine Anhaltspunkte ersichtlich, aus denen sich 
eine von vom bisherigen Verständnis abweichende Definition ergeben könn- 
te. Hinsichtlich der Mittel und Verfahren der Löschung steht dem verantwort- 
lichen ein Auswahlermessen zu.” Die Wirkung der Anonymisierung, wird, 
wie oben dargestellt, unverändert auch unter DSGVO gelten. Daher kann sie 
nach hier vertretener Ansicht auch zukünftig ein geeignetes Mittel sein, um 
einen Löschanspruch zu erfüllen. Art. 17 Abs. 2 DSGVO enthält im Rahmen 
des „Rechts auf Vergessenwerden“ den Hinweis, dass alle „Kopien oder Repli- 
kationen“ von einem Löschungsersuchen umfasst sind. Daher gilt auch wei- 
terhin, dass alle Kopien zu löschen oder zu anonymisieren sind. Das folgt auch 
unmittelbar aus den Erwägungen zur Wirksamkeit der Anonymisierung. 3° 


222 Siehe hierzu die Ausführungen im Gutachtenteil von Roßnagel im vorliegenden Band. 

223 BeckOK DatenSR/Brink, 20. Ed. 1.2.2017, BDSG $ 35 Rn. 26, beck-online; Dix, in: Simitis, BDSG, 8. Aufl., 2014, 
6.35 Rn. 45, Plath/Schreiber, in: Plath, BDSG/DSGVO, 2. Aufl., 2016, $ 3 BDSG Rn. 52. 

224 Dix, in: Simitis, BDSG, 8. Aufl., 2014, $ 35 Rn. 45. 

225 Meents/Hinzpeter, in: Taeger/Gabel, BDSG, 2. Aufl., 2013, $ 35 Rn. 17; Dix, in: Simitis, BDSG, 8. Aufl., 2014, $ 35 
Rn. 45. 

226 BeckOK DatenSR/Schild BDSG, 20. Ed. 1.5.2017, $ 3 Rn. 98, beck-online. 

227 Greve, in: Auerhammer, DSGVO/BDSG, 5. Aufl., 2017, $ 40 BDSG Rn. 14. 

228 Kamann/Braun, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 17 Rn. 32 (m.w.N.). 

229 Kamann/Braun, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 17 Rn. 36. 
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Aus der deutschen Anpassungsgesetzgebung ergibt sich keine abweichende 
Erwägung. 


Nach hier vertretender Auffassung kommt eine Anonymisierung, bei der alle 
Kopien der Datensätze ebenfalls anonymisiert werden, daher einer Löschung 
gleich. 


1.9 Verpflichtung externer Einrichtungen zur Übermittlung von 
Sozialdaten an weitere Sozialleistungsträger ($$ 18-29 SGB I) 


Sofern die Übermittlung von Sozialdaten an eine externe Stelle nach den oben 
dargelegten Grundsätzen zulässig ist, ist die Verarbeitung dieser Daten durch 
die externe Stelle durch den Zweckbindungsgrundsatz streng limitiert (vgl. $78 
Abs. 1 SGB X). Eine Datenverarbeitung der externen Stelle, zu der auch die 
Datenübermittlung gehört, darf nur erfolgen, sofern sie von dem Zweck ge- 
deckt ist, zu dem ihr die Daten übermittelt wurden. Eine Übermittlung an an- 
dere Sozialleistungsträger ist mithin nur zulässig, wenn sich die Übermittlung 
im Rahmen des Zweckes bewegt, zu dem die Daten der externen Stelle über- 
tragen wurden oder wenn eine anderweitige gesetzliche Ermächtigungsgrund- 
lage für die Übermittlung existiert. Eine grundsätzliche Verpflichtung, erhal- 
tene Sozialdaten an andere Sozialleistungsträger zu übermitteln, auch wenn 
diese die Daten für die ihnen zugewiesenen Zwecke verarbeiten, existiert nicht. 


Sofern für die übermittelnde Stelle eine Verpflichtung besteht, Sozialdaten an 
bestimmte andere Leistungsträger zu übermitteln, gehen diese Übermitt- 
lungspflichten des Leistungserbringers nicht ohne Weiteres mit der Daten- 
übermittlung auf die externe Stelle über. Vielmehr verbleibt die Pflicht beim 
Leistungsträger. Begehrt ein anderer Sozialleistungsträger personenbezogene 
Sozialdaten, muss er sich, sofern er nicht ohnehin zur Erhebung der Daten 
beim Betroffenen selbst verpflichtet ist ($ 67a Abs. 2 S. 1 SGB X), an den Leis- 
tungsträger wenden, der entsprechend der gesetzlichen Vorschriften zur Über- 
mittlung der begehrten Daten verpflichtet ist. Nur sofern im Einzelfall eine 
gesetzliche Vorschrift existiert, die - neben dem Übergang des Sozialgeheim- 
nisses (z.B. $ 78 Abs. 1 S. 3 SGB X) - den Übergang der Übermittlungspflichten 
anordnet, kann der Empfänger zur Übermittlung der erhaltenen Sozialdaten 
verpflichtet sein. 


Auch $ 69 SGB X statuiert keine Übermittlungsverpflichtung für die externen 
Stellen. $ 69 SGB X berechtigt lediglich die in s 35 Abs. 1 SGB I genannten sowie 
die ihnen nach $ 69 Abs. 2 SGB X gleichgestellten Stellen zur Übermittlung von 
Sozialdaten. Diese Übermittlungsbefugnis kann sich allenfalls zu einer Über- 
mittlungspflicht verdichten, wenn diese Stelle zur Amtshilfe verpflichtet ist 
oder die Übermittlung selbst zu ihren gesetzlichen Aufgaben gehört. Exter- 


231 Rombach, in: Hauck/Noftz, SGB X, Stand: 08/2017, $ 69 Rn. 79. 
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ne Stellen, die keine in $ 35 Abs. 1 SGB I genannte oder dieser gleichgestellten 
Stelle sind, können folglich keiner Übermittlungspflicht nach s 69 SGB X 
unterliegen. Handelt es sich bei der empfangenden Stelle um einein $35 Abs. ı 
SGB I genannte oder diesen gleichgestellte Stelle, ist zu bedenken, dass der 
andere Sozialleistungsträger grundsätzlich verpflichtet ist, die Daten bei der 
Stelle anzufragen, die die Daten ursprünglich an die externe Stelle übermittelt 
hat (Direkterhebung gemäß s 67a Abs. 2 S. 1 SGB X). Nur soweit der Übergang 
einer solchen Verpflichtung auf den Empfänger der Sozialdaten vom Gesetz 
ausdrücklich angeordnet wird oder die Daten vom Verantwortlichen nicht 
mehr übermittelt werden können, kommt eine Pflicht zur Übermittlung durch 
die externe Stelle in Betracht. 


Handelt es sich bei der externen Stelle um einen Auftragsverarbeiter ist die 
Verarbeitungsbefugnis durch den Auftrag und die Weisungen des Verantwort- 
lichen sowie dessen Verarbeitungsbefugnisse begrenzt. Dementsprechend 
kann sich für die externe Stelle eine Übermittlungspflicht ergeben, sofern der 
Verantwortliche selbst zur Übermittlung verpflichtet ist und der Auftrag etwa 
die Speicherung und Übermittlung dieser Daten umfasst. Betrifft der Auftrag 
jedoch andere Tätigkeiten, schließt dies die Übermittlung durch den Auftrags- 
verarbeiter jedoch aus. Zudem unterliegt der Auftragsverarbeiter den Weisun- 
gen des Verantwortlichen. Folglich ist eine eigenmächtige Übermittlung der 
Daten durch den Auftragsverarbeiter in jedem Fall unzulässig. Vielmehr bedarf 
es einer entsprechenden Weisung durch den Auftraggeber. 


1.10 Auskunftsrechte der Versicherten 


Das Auskunftsrecht des Betroffenen ist in Art. 15 DSGVO geregelt. $ 34 BDSG 
und $ 83 SGB X erhalten dazu ergänzende Regelungen, die den Anspruch im 
Wesentlichen einschränken und weitere Voraussetzungen formulieren. Da 
es sich bei den von der Krankenkasse erhobenen Daten um Sozialdaten im 
Sinne des $ 67 Abs. 2 SGB X handelt, werden gemäß s 35 Abs. 2 SGB I die allge- 
meinen datenschutzrechtlichen Anforderungen des $ 34 BDSG von den spe- 
zielleren sozialrechtlichen Bestimmungen des $ 83 SGB X verdrängt. 


Ob dies auch im Falle der Übermittlung der Daten an die externe Stelle gilt 
(insbesondere in Szenario 3), ergibt sich nicht eindeutig aus dem Gesetz. Es 
spricht aber viel dafür, dass sich der Auskunftsanspruch gegenüber einer ex- 
ternen Stelle, gegenüber der sich das Sozialgeheimnis nach s 78 Abs. 1 SGB X 
verlängert, nach den gleichen Anforderungen richtet, wie dies gegenüber 
einer Stelle nach 5 35 Abs. 1 SGB X der Fall wäre. Dies ergäbe sich im Übrigen 
auch aus $ 35 Abs. 6 S. ı Nr. 1SGB I, sofern man diese Regelung nicht unter 
Berücksichtigung des $ 78 Abs. 1 SGB X restriktiv auslegen würde. 


232 Vgl. bisher: $ 34 BDSG a.F. und $ 83 SGB X a.F. 
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1.10.1 Auskunftsanspruch gegen die gesetzliche Krankenkasse 


Der Auskunftsanspruch besteht gegenüber dem Verantwortlichen. Dies ist ge- 
mäß Art. 4 Nr. 7 DSGVO diejenige natürliche oder juristische Person, die die 
Entscheidungsgewalt über die personenbezogenen Daten hat. In allen drei Sze- 
narien handeltes sich dabei um die gesetzliche Krankenkasse. Diese erhebt die 
Sozialdaten beim Betroffenen und übermittelt sie ggf. an eine externe Stelle. 


1.10.1.1 Voraussetzungen des Auskunftsanspruchs 


Art. 15 DSGVO enthält keine besonderen Anforderungen für die Geltendma- 
chung des Auskunftsanspruchs. Der Versicherte kann seinen Antrag daher 
formlos, ggf. sogar mündlich stellen. Er hat jedoch seine Identität nachzu- 
weisen, vgl. Art. 12 Abs. ı und 2 DSGVO. Bei Zweifeln hinsichtlich der Identi- 
tät kann die verantwortliche Stelle zusätzliche Informationen verlangen 
(Art. 12 Abs. 6 DSGVO). Gemäß $ 83 Abs. 2 S. 1 SGB X soll der Betroffene in sei- 
nem Antrag die Art der Sozialdaten, über die er Auskunft begehrt, näher be- 
zeichnen. Pauschale Auskunftsersuchen können daher von der Krankenkasse 
mit der Bitte um Spezifizierung zurückgewiesen werden. 


1.10.1.2 Umfang des Auskunftsanspruchs 


Gemäß Art. 15 DSGVO hat der Betroffene gegenüber dem Verantwortlichen 
Anspruch auf Auskunft darüber, ob und in welchem Umfang personenbezo- 
gene Daten von ihm verarbeitet werden. Aus Erw.Gr. 63 der Verordnung ergibt 
sich, dass sich der Auskunftsanspruch auch auf eigene gesundheitsbezogene 
Daten (beispielsweise Daten in Patientenakten, Untersuchungsergebnisse 
oder Befunde) bezieht. 


Er kann im Einzelnen Auskunft verlangen über (vgl. Art. ı5 Abs. ı, Abs. 2 
DSGVO): 


= die Verarbeitungszwecke 

= die Kategorien personenbezogener Daten, die verarbeitet werden 

= falls möglich die geplante Dauer, für die die personenbezogenen Daten 
gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für 
die Festlegung dieser Dauer 

= das Bestehen eines Rechts auf Berichtigung oder Löschung der sie be- 
treffenden personenbezogenen Daten oder auf Einschränkung der Ver- 
arbeitung durch den Verantwortlichen oder eines Widerspruchsrechts 
gegen diese Verarbeitung”: 

= das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde ** 


233 Vgl. Art. 16 und 17 DS-GVO. 
234 Vgl. § 81 Abs. 1 SGB X. 


94 


1 Bewertung der Rechtslage ab 25.05.2018 


= wenn die personenbezogenen Daten nicht bei der betroffenen Person er- 
hoben werden®s, alle verfügbaren Informationen über die Herkunft der 
Daten 

= das Bestehen einer automatisierten Entscheidungsfindung einschließ- 
lich des Profilings gemäß Artikel 22 Absätze 1 und 4 DSGVO und - zumin- 
dest in diesen Fällen - aussagekräftige Informationen über die involvier- 
te Logik sowie die Tragweite und die angestrebten Auswirkungen einer 
derartigen Verarbeitung für die betroffene Person 

= die geeigneten Garantien gemäß Artikel 46 DSGVO im Falle der Über- 
mittlung der Daten an ein Drittland oder an eine internationale Orga- 
nisation. 

= die Empfänger oder Kategorien von Empfängern, gegenüber denen die 
personenbezogenen Daten offengelegt worden sind oder noch offenge- 
legt werden, insbesondere bei Empfängern in Drittländern oder bei 
internationalen Organisationen. 
Gemäß ş 83 Abs. ıNr. 11.V.m. $ 82a Abs. 4 i.V.m. $ 82 Abs. 1SGB X sind 
hier nur diejenigen Empfänger zu nennen, an die eine Weiterleitung 
aus Sicht des Betroffenen nicht zu erwarten ist, die nicht zu den in $ 35 
SGB I genannten Personen oder Stellen gehören oder eng mit diesen zu- 
sammenarbeiten. 
Zu nennen sind dagegen in Szenario 2 und 3 die externe Stelle, in Sze- 
nario 3 ggf. weitere Dritte. Die Drittempfänger sollten dabei soweit wie 
möglich präzisiert werden. Bei der Benennung von Empfängerkatego- 
rien reichen die üblichen Branchenbezeichnungen aus. ® 


1.10.1.3 Verfahren und Form 


Art. 12 DSGVO enthält verschiedene Anforderungen an die Auskunftserteilung. 
Sie muss in präziser, transparenter und leicht zugänglicher Form erteilt und 
in klarer und einfacher Sprache verfasst werden (Art. 12 Abs. ıDSGVO). In der 
Regel ist die Auskunft schriftlich oder elektronisch zu übermitteln, kann aber 
auf Verlangen des Versicherten auch mündlich erfolgen. Einzelheiten zum 
Verfahren, insbesondere zur Form der Auskunft, kann die Krankenkasse be- 
stimmen ($ 83 Abs. 2 S. 3 SGB X). Soweit die Daten Angaben zu gesundheitli- 
chen Verhältnissen des Betroffenen enthalten, kann sie die Auskunft gemäß 
$ 83 Abs. 2 S. 41.V.m. $ 25 Abs. 2 SGB X durch einen Arzt erteilen lassen. 


Art. 12 Abs. 3 DSGVO sieht für die Erteilung der Auskunft eine Frist von einem 
Monat vor. Diese Frist kann um maximal zwei Monate verlängert werden. 
Auch darüber - sowie über die Gründe einer solchen Fristverlängerung - ist 
der Betroffene in Kenntnis zu setzen. 


235 Z.B. bei einer Übermittlung durch Krankenhäuser gemäß $ 301 SGB V. 
236 Zu $ 34 BDSG a.F.: Kamlah, in: Plath, BDSG/DSGVO, 2013, $ 34 Rn. 24. 
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Gemäß Art. 15 Abs. 3 DSGVO muss die Krankenkasse dem Betroffenen eine 
Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen (im 
Falle der elektronischen Übermittlung kann dies z.B. im PDF-Format erfol- 
gen). Diese Kopie sowie die Auskunftserteilung selbst erfolgt unentgeltlich. 
Nur für weitere Kopien kann die Krankenkasse ein angemessenes Entgelt ver- 
langen. 


1.10.1.4 Ausschluss des Anspruchs 


Gemäß $ 83 Abs. 1 Nr. 1SGB X besteht kein Auskunftsanspruch, wenn der Be- 
troffene gemäß ş 82a SGB X nicht zu informieren ist, die Auskunftserteilung 
einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung 
zu anderen Zwecken durch geeignete technische oder organisatorische Maß- 
nahmen ausgeschlossen ist. Dies ist gemäß s 82a Abs. 1 SGB X insbesondere 
dann der Fall, wenn die ordnungsgemäße Erfüllung der Aufgaben des Verant- 
wortlichen oder die öffentliche Sicherheit und Ordnung gefährdet wäre oder 
wenn die Daten ihrem Wesen nach oder aufgrund einer gesetzlichen Regelung 
geheim gehalten werden müssen und deswegen das Interesse des Betroffenen 
an der Erteilung der Auskunft zurücktreten muss. Damit werden die Bestim- 
mungen des bisherigen $ 83 Abs. 2 und Abs. 4 SGB X a.F. beibehalten. Die 
Beschränkung des Auskunftsanspruchs soll die verantwortliche Stelle insbe- 
sondere vor einer übermäßigen Inanspruchnahme schützen. Ein vollstän- 
diger Ausschluss des Auskunftsanspruchs dürfte jedoch nur im Ausnahmefall 
möglich sein. Das Auskunftsersuchen kann beispielsweise nicht bei bloßer 
Arbeitsüberlastung abgelehnt werden. Stattdessen kann der Verantwortli- 
che verlangen, dass die betroffene Person präzisiert, auf welche Information 
oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht. *° 


Die Auskunft kann ferner verweigert werden, wenn die Sozialdaten nur noch 
gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Auf- 
bewahrungsvorschriften nicht gelöscht werden dürfen (ş 83 Abs. ıNr. 2 lit. a 
SGB X) oder wenn sie nur der Datensicherung oder -kontrolle dienen ($ 83 Abs. ı 
Nr. 2 lit. b SGB X), und die Auskunftserteilung einen unverhältnismäßigen 
Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch 
geeignete technische oder organisatorische Maßnahmen ausgeschlossen ist. 
Bei den archivierten?” oder zu Kontroll- und Sicherheitszwecken gespeicher- 
ten? Daten ist dabei zu beachten, dass der Verantwortliche ggf. technische 
Maßnahmen ergreifen muss, um die Daten verfügbar zu machen.» 


237 BT-Drucks. 18/12611, S. 129. 

238 BT-Drucks. 18/12611, S. 130. 

239 Diering/Seidel, in: Diering/Timme, SGB X, 4. Aufl., 2016, $ 83 Rn. 7. 
240 Vgl. Erw.Gr. Nr. 63 S. 7, siehe auch $ 83 Abs. 2 5.1 SGB X. 

241 Vgl. $ 84 Abs. 3 SGB X. 

242 Vgl. $ 67c Abs. 4 SGB X. 

243 BT-Drucks. 18/12611, S. 130. 
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Bei nicht automatisiert oder in nicht automatisierten Dateisystemen gespei- 
cherten Daten muss die Auskunft gemäß s 83 Abs. 2 S. 2 SGB X ferner nur dann 
erteilt werden, wenn der Betroffene Angaben macht, die ein Auffinden der 
Daten ermöglichen und die Erteilung der Auskunft keinen unverhältnismä- 
ßigen Aufwand erfordert. * Hierfür reicht die Mitteilung des jeweiligen Ak- 
tenzeichens aus.” 


Abgesehen davon kann die verantwortliche Stelle gemäß Art. 12 Abs. 5 DSGVO 
die Auskunft verweigern, wenn entsprechende Anträge offenkundig unbe- 
gründet sind oder exzessiv gestellt werden. Der Antrag ist „offenkundig un- 
begründet“, wenn seine Voraussetzungen offensichtlich nicht erfüllt sind, 
z.B. wenn der Anspruch nicht von dem Betroffenen selbst geltend gemacht 
wird. Eine „exzessive“ Antragstellung dürfte nur selten vorliegen. Dem Erw. 
Gr. 63 S. 1 lässt sich entnehmen, dass der Auskunftsanspruch in „angemesse- 
nen Abständen“ geltend gemacht werden kann. Wann eine exzessive Antrag- 
stellung vorliegt, ist eine Frage des Einzelfalls. Es sollte dem Betroffenen je- 
doch möglich sein, das Auskunftsrecht mehrmals pro Jahr geltend zu machen. 


Von den genannten Verweigerungsrechten kann die Krankenkasse sowohl bei 
Datenerhebungen aufgrund einer gesetzlichen Ermächtigung als auch bei 
solchen auf Grundlage von Einwilligungen Gebrauch machen. Gemäß s 83 
Abs. 3 S. 1 SGB X hat sie die Gründe für die Auskunftsverweigerung zu doku- 
mentieren, es sei denn, der mit der Auskunftsverweigerung verfolgte Zweck 
würde dadurch gefährdet werden (z.B. wenn die Dokumentation in Rechte 
Dritter eingreifen würde). 


1.10.2 Auskunftsanspruch gegen die externe Stelle 
1.10.2.1 Auftragsverarbeiter 


Ist die externe Stelle nur „Auftragsverarbeiter“ im Sinne des Art. 4 Nr. 8 
DSGVO, haben die Versicherten ihr gegenüber keinen Auskunftsanspruch aus 
Art. 15 DSGVO. Gemäß Art. 28 Abs. 3 lit. d) DSGVO ist der Auftragsverarbeiter 
jedoch verpflichtet, den Verantwortlichen bei der Erteilung der Auskunft zu 
unterstützen. Adressiert der Betroffene beispielsweise seinen Antrag ver- 
sehentlich an die externe Stelle, so sollte ihn diese an die zuständige Kranken- 
kasse weiterleiten. 


1.10.2.2 Externe Stelle als Verantwortlicher 


Erhält die externe Stelle die Sozialdaten im Rahmen einer Übermittlung der- 
gestalt, dass sie eigenständig Verantwortlicher ist, besteht hier zusätzlich zu 


244 Vgl. § 83 Abs. 1 S. 3 SGB X a.F. 
245 Diering/Seidel, in: Diering/Timme, SGB X, 4. Aufl., 2016, § 83 Rn. 4. 
246 Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 12 Rn. 43. 
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dem Auskunftsanspruch gegenüber der gesetzlichen Krankenkasse auch ein 
Anspruch gegenüber der externen Stelle. 


Für diesen Auskunftsanspruch gilt - sofern man, wie oben ausgeführt, von 
einer Anwendbarkeit der s 67ff. SGB X ausgeht - dasselbe wie für den Aus- 
kunftsanspruch gegenüber der gesetzlichen Krankenkasse. Insofern kann voll- 
umfänglich auf die obigen Ausführungen verwiesen werden. 


Geht man hingegen davon aus, dass für den Auskunftsanspruch gegenüber 
der externen Stelle nur die allgemeinen datenschutzrechtlichen Anforderun- 
gen gelten, ergibt sich Folgendes: 


= Die Einschränkung der s 83 Abs. 2 S. ı entfällt. Die externe Stelle kann 
das Auskunftsersuchen daher nicht allein deswegen zurückweisen, weil 
es zu pauschal formuliert wurde. Die Auskunft kann jedoch gemäß s 34 
Abs. 4 BDSG - entsprechend $ 83 Abs. 2 S. 2 SGB X - verweigert werden, 
wenn Angaben, die ein Auffinden der Daten ermöglichen, fehlen. 

= Die Ausschlussgründe des $ 83 Abs. ı SGB X entfallen, jedoch ergeben 
sich aus $ 34 Abs. 1 BDSG entsprechende Verweigerungsrechte. 

= Werden personenbezogene Daten ohne Einwilligung des Betroffenen für 
Forschungszwecke oder statistische Zwecke gemäß $ 27 Abs. ı BDSG er- 
hoben, kann der Auskunftsanspruch zudem gemäß $ 27 Abs. 2 BDSG aus- 
geschlossen oder beschränkt werden. Dies ist der Fall, wenn andernfalls 
die Verwirklichung von Statistik- und Forschungszwecken unmöglich 
gemacht oder ernsthaft beeinträchtigt werden würde und der Ausschluss 
für die Erfüllung dieser Zwecke erforderlich ist. Die Verwirklichung des 
Forschungszwecks ist z.B. ernsthaft beeinträchtigt, wenn die zuständi- 
ge Ethikkommission zum Schutz der betroffenen Person eine Durchfüh- 
rung des Projekts untersagen würde. 

= Der Auskunftsanspruch kann darüber hinaus ausgeschlossen werden, 
wenn die Daten für wissenschaftliche Forschungszwecke erforderlich 
sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand 
erfordern würde. Dies kommt bereits dann in Betracht, wenn ein For- 
schungsvorhaben mit besonders großen Datenmengen arbeitet. Aller- 
dings wird ein vollständiger Ausschluss des Auskunftsanspruchs auch 
hier wohl nur ausnahmsweise möglich sein. Analog zu den obigen Aus- 
führungen kann der Aufwand der Auskunftserteilung beispielsweise da- 
durch verringert werden, dass der Betroffene sein Auskunftsersuchen 
auf bestimmte Informationen oder Verarbeitungsvorgänge beschränkt. %9 

= Außerdem kann die externe Stelle gemäß Art. 12 Abs. 5 DSGVO die Ertei- 
lung der Auskunft wegen offenkundiger Unbegründetheit oder exzessi- 
ver Antragsstellung verweigern. 


247 BT-Drucks. 18/11325, S. 99. 
248 BT-Drucks. 18/11325, S. 99f. 
249 Vgl. Erw.Gr. Nr. 63 5.7. 
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= Die Gründe für die Auskunftsverweigerung sind auch hierzu dokumen- 
tieren und dem Betroffenen mitzuteilen ($ 34 Abs. 2 BDSG). 

= Ansonsten ergeben sich für den Auskunftsanspruch des Versicherten 
nach allgemeinem Datenschutzrecht keine Besonderheiten. Es gelten 
die obigen Ausführungen. 
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2 Vergleich zur bisherigen Rechtslage 


Eine umfassende Erläuterung des bisher geltenden Rechts ist wegen der ge- 
wählten Darstellungsform, bereits in Kapitel I die wesentlichen Änderungen 
mitunter vergleichend zu beschreiben, nicht mehr angezeigt, geschweige 
denn in Anbetracht der zwischenzeitlich geänderten Rechtslage von besonde- 
rer Relevanz. Nichtsdestotrotz soll an dieser Stelle auf einige Unterschiede 
hingewiesen werden. Diese Unterschiede fallen jedoch überaus gering aus, 
was insbesondere daran liegt, dass die fachspezifischen Normen des SGB V bei 
dem hier zugrunde zu legenden Gesetzgebungsstand noch nicht an die DSGVO 
angepasst wurden. 


2.1 Allgemeines 


Hinsichtlich der allgemeinen Regelungsstrukturen wurde bereits in Kapitel I 
auf die Systematik der alten Rechtslage hingewiesen. Sie unterscheidet sich 
insoweit, als keine unmittelbare Geltung des EU-Sekundärrechts zu beachten 
war. Allgemeines Datenschutzgesetz auf Bundesebene war das BDSG a.F., dem 
das Sozialdatenschutzrecht nach SGB I a.F. und SGB X a.F. i.V.m. SGB V gemäß 
$ 1 Abs. 3 S. 1 BDSG a.F. vorging. Wegen des abschließenden Charakters des 
Sozialdatenschutzrechts war ein Rückgriff auf allgemeines Datenschutzrecht 
des Bundes nicht angezeigt. Das Sozialgeheimnis galt nur für Stellen nach 
$ 35 SGB I. Allerdings enthielt bereits das bisher geltende Recht die strenge 
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Zweckbindung des $ 78 Abs. 1 SGB X a.F. und die Pflicht zur Geheimhaltung 
wie eine Stelle nach $s 35 SGB Ia.F. gemäß $ 78 Abs. 1 S. 2 SGB X a.F. Gleiches 
gilt für die „Verlängerung der ärztlichen Schweigepflicht“, die in $ 76 Abs. ı 
SGB Xa.F. geregelt war. 


Nicht enthalten war bisher die Möglichkeit, Forschungsfolgefragen zum An- 
lass zu nehmen, ein Forschungsvorhaben zu verlängern oder Forschungsvor- 
haben bereits zu einem Zeitpunkt genehmigen zu lassen, zu dem eine kon- 
krete inhaltliche Bestimmung der jeweiligen Forschungsfrage noch nicht 
möglich ist. Die Anforderungen an eine Einwilligung ergaben sich bisher un- 
mittelbar aus dem SGB X a.F. Dabei ließ $ 67a Abs. 1 SGB X a.F. eine Einwilli- 
gung für Datenerhebungen (sowohl bei einfachen Sozialdaten als auch bei 
besonderen Arten personenbezogener Daten i.S.d. $ 67 Abs. 12SCBXa.F.)nicht 
zu. Nur für die Verarbeitung und Nutzung sah $ 67b SGB X a.F. die Einwil- 
ligung als taugliche Alternative zur gesetzlichen Ermächtigungsgrundlage an. 
Das spiegelte sich auch in $ 284 Abs. ı SGB V wider. Über die Verweisung des 
$ 284 Abs. 3 S. 1 Hs. 2 SGB V konnte diese Einschränkung zur Einholung einer 
Einwilligungserklärung bislang also nicht umgangen werden, da auch diese 
Verweisung eine Einwilligung zur Erhebung nicht ermöglichte. Inhaltlich 
war die Einwilligung bisher unter Zugrundelegung eines strengen Zweckbin- 
dungsverständnisses eng ausgelegt worden. Erwägungen im Sinne einer brei- 
ten Einwilligung fanden sich weder im Gesetz noch in den Gesetzgebungs- 
unterlagen. Die Einwilligung musste in Schriftform erteilt werden und bei 
besonderen Arten personenbezogener Daten zudem ausdrücklich auf diese 
Bezug nehmen. Nur beim Eingreifen besonderer Umstände konnte von der 
Schriftform abgewichen werden. 


Die Anforderungen an die Auftragsdatenverarbeitung ergaben sich auch bis- 
her aus $ 80 SGB X a.F. Die Anforderungen an einen Auftragsdatenverarbei- 
tungsvertrag wichen nur unwesentlich von denen der geltenden Rechtslage 
ab. Als zusätzliche Anforderung im Vergleich zu $ 80 SGB X sah $ 80 Abs. 5 Nr. 2 
a.E. SGB X a.F. noch vor, dass in dem Fall, in dem ein Auftragnehmer eine 
nicht-öffentliche Stelle ist, der überwiegende Teil der Speicherung des gesam- 
ten Datenbestands beim Auftraggeber oder beim Auftragnehmer, der eine 
öffentliche Stelle ist, und die Daten zur weiteren Datenverarbeitung im Auf- 
trag an nicht-öffentliche Auftragnehmer weitergibt, verbleiben müssen. 


Die Vorgaben für Betroffenenrechte folgten aus den ss 8ıff. SGB X a.F. Aus- 
kunftsrechte waren in $ 83 SGB Xa.F., Berichtigung, Löschung und Sperrung 
waren in $84 SGB Xa.F. geregelt. 


250 Sie wurde nur für die Erhebung von Angaben über die „rassische Herkunft“ gefordert, vgl. $ 67a Abs. 1 S. 3 
SGB X a.F. 
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2.2 Szenario 1 


Für Szenario ı ergaben sich keine wesentlichen Abweichungen zu den dies- 
bezüglichen Ausführungen in Kapitel I, soweit die Datenumgänge auf gesetz- 
liche Ermächtigungstatbestände gestützt werden sollten. Eine Legitimation 
auf Basis einer Einwilligungserklärung war ebenfalls über $ 67c Abs. 2 Nr. 2 
SGB Xa.F. möglich, wobei sich die Anforderungen, wie bereits erläutert, aus 
dem SGB X a.F. ergaben, ohne dass diese wesentlich von denen der DSGVO 
abweichen würden. 


Die Anforderungen an technische und organisatorische Maßnahmen folgten 
aus ș§ 78a SGB Xa.F. und der zugehörigen Anlage zu $ 78a SGB X a.F. 


2.3 Szenario 2 


Für Szenario 2 gilt das zu Szenario 1 Gesagte weitgehend ebenfalls. Unterschie- 
de ergaben sich bei der Übermittlung zu Forschungszwecken nach $ 75 SGB X 
a.F. Sowarzu beachten, dass keine Regelungen bestehen, die eine Weiterver- 
arbeitung zu Forschungsfolgefragen oder eine Genehmigungsfähigkeit von 
noch nicht konkret bestimmbaren Forschungsvorhaben vorsahen. Weiterhin 
war eine weite Einwilligung zur Verarbeitung von Sozialdaten zu bestimmten 
Bereichen der wissenschaftlichen Forschung nach bisherigem Recht nicht 
vorgesehen. 


2.4 Szenario 3 


Für Szenario 3 ergaben sich ebenfalls keine weiteren wesentlichen Unterschie- 
de. Wegen der nicht bestehenden Möglichkeiten einer weiten Einwilligung 
oder der Einbeziehung von Forschungsfolgefragen in ein Forschungsvorhaben 
oder aber der Genehmigung eines Vorhabens, das noch nicht konkret be- 
stimmt war, waren die Handlungsspielräume einer externen Plattform ein- 
geschränkt. 
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3.1 Anforderungen an die Ausgestaltung einer Rechtsgrundlage 
zur Errichtung und Nutzung einer Datenplattform für 
die externe Speicherung von Sozial- und Gesundheitsdaten 


3.1.1 Notwendigkeit einer Verarbeitung personenbezogener Daten 


Wir gehen davon aus, dass eine Arbeit mit anonymen Daten keine praktisch 
umsetzbare Alternativezum Umgang mit personenbezogenen Daten ist. Dies 
ist unter anderem darin begründet, dass durch steigende Datenmengen und 
den Einsatz leistungsfähigerer Datenverarbeitung eine Re-Identifikation nicht 
mehr mit hinreichender Wahrscheinlichkeit ausgeschlossen werden kann. 
Zwar ist mit der Rechtsprechung des EuGH zum relativ zu beurteilenden Per- 
sonenbezug bei IP-Adressen? die rechtliche Kategorie der anonymisierten 
Daten nachhaltig gestärkt worden, nichtsdestotrotz ist die Diskussion um die 
Frage, ob sich unmittelbar aus medizinischen Daten ein Personenzug ergeben 
kann, im Fluss. Im Hinblick auf die zunehmende Stratifizierung und Perso- 
nalisierung der Medizin würde eine Löschung der identifizierenden Daten 
zudem die Aussagekraft der Daten beeinträchtigen. Entweder stünde eine auf 
den Fortbestand der Anonymität bauende Argumentation auftönernen Füßen 


251 EuGH, Rs. C-582/14, ECLI:EU:C:2016:779 - Breyer. 
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oder aber die Datenqualität würde erheblich beeinträchtigt. Um die notwen- 
dige Planungssicherheit für Forschungsvorhaben gewährleisten zu können, 
bedarf es eines rechtlichen Alternativkonstrukts für die Fälle, in denen die 
Daten nicht anonymisiert sind. 


3.1.2 Rechtliche Rahmenbedingungen 


Die Rahmenbedingungen ergeben sich zunächst aus den verfassungsrechtli- 
chen Anforderungen, also insbesondere den maßgeblichen Gesetzgebungs- 
kompetenzen und den grundrechtlichen Gewährleistungen. 


Der grundrechtliche Schutz der informationellen Selbstbestimmung aus Art. 2 
Abs. 1i.V.m. Art. ı Abs. ı GG auf nationaler Ebene wird im unionsrechtlich 
determinierten Bereich des Datenschutzrechts von der Gewährleistung des 
Art. 8GRCh überlagert. Die wesentlichen Vorgaben beider Gewährleistungen 
sind zunächst, dass ein Eingriff in den Schutzbereich einer gesetzlichen 
Grundlage bedarf oder aber eine Einwilligung des Betroffenen vorliegt und 
zudem der Zweckbindungsgrundsatz beachtet wird. Grundrechtliche Kollisio- 
nen ergeben sich mit den Gewährleistungen zur Forschungsfrteiheit nach 
Art. 5 Abs. 3S. 1 GG und Art. 13 S. 1 GRCh. Diese sind in schonendem Ausgleich 
im Sinne einer praktischen Konkordanz zu bringen. Das sekundärrechtliche 
Unionsdatenschutzrecht ist dabei teilweise geeignet, den Schutzbereich des 
Art. 8GRCh auszugestalten 5 


Vor dem Hintergrund einer fehlenden, umfassenden Gesetzgebungskompe- 
tenz des Bundes für den Bereich des Datenschutzrechts oder der Forschung, 
kann eine entsprechende gesetzliche Grundlage nur eine begrenzte Reichwei- 
te erlangen, die sich im Bereich der Sozialdaten aber auf die Gesetzgebungs- 
kompetenz des Bundes zur Sozialversicherung (Art. 74 Abs. 1 Nr. 12 GG) stützen 
könnte. Untauglich erscheint eine solche Lösung allerdings etwa hinsichtlich 
der Einbeziehung von Daten, die dem Landesrecht unterfallen. Sollte eine 
Ausweitung auf solche Daten erstrebt werden, könnten Konzepte eines For- 
schungsstaatsvertrages verfolgt werden. Vorliegend konzentrieren wir uns 
aber auf eine gesetzliche Grundlage im Sozialgesetzbuch. 


3.1.3 Zweckbindung, Erforderlichkeit und Bestimmtheit 


Auch wenn manin den Ansätzen einer Forschungsprivilegierung in der DSGVO 
möglicherweise nicht einen Eingriff, sondern eine normative Prägung des 
Grundrechts erkennt, die zu einer gelockerten Zweckbindung führen könnte, 


252 Vgl. Schorkopf in: Ehlers, Europäische Grundrechte und Grundfreiheiten, 3. Aufl., 2009, $ 16.1 Rn. 41. Mit dem 
Hinweis auf die Frage nach der Abgrenzung zwischen Eingriff und Ausgestaltung Kingreen in: Callies/Ruffert 
(Hrsg.), EUV/AEUV, 5. Aufl., 2016, Art. 8 GRCh Rn. 7. 

253 Siehe etwa den Vorschlag von Weichert in: Stiftung Datenschutz (Hrsg.), Big Data und E-Health, 2017, S. 187ff. 
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kann dies eine Zweckbindung nicht beliebig aufweichen. Eine gleichsam ohne 
Zweckbindung erfolgende Speicherung von Sozial- und Gesundheitsdaten auf 
Vorrat durch eine externe Datenplattform wird nicht möglich sein. 


Zu fordern wäre wohl mindestens ein - wenn auch sehr weit gefasster - Zweck 
der Versorgungs- und weiteren Forschung. Eine besondere Herausforderung 
für die Festlegung der im Einzelnen zu übermittelnden Daten wird in der Fol- 
ge die möglicherweise noch nicht feststehende Erforderlichkeit für den For- 
schungszweck darstellen. Um einen hinreichenden Grad an Bestimmbarkeit 
trotz der Kombination des seinerseits unbestimmten Rechtsbegriffes der Er- 
forderlichkeit und dem weiten Zweck der Forschung zu destillieren und dem 
zukunftsgewandten Zweck einer solchen Plattform Rechnung zu tragen, 
könnte die Entscheidung über die Erforderlichkeit unter Gewährung einer 
weiten Einschätzungsprärogative auf ein qualifiziertes Fachgremium über- 
tragen werden. Es sollte dabei nicht ausschließlich auf die Erforderlichkeit im 
Zeitpunkt der Übermittlung an die Plattform abgestellt werden. 


Aus der Wesentlichkeitslehre folgt, dass der Gesetzgeber Regelungen, die sich 
intensiv auf die Grundrechtsausübung auswirken, selbst schaffen muss und 
nicht an die Verwaltung delegieren kann. Andererseits muss gleichsam ein 
Instrument genutzt werden, das geeignet ist, um die Dynamik der Entwick- 
lung der Datenverarbeitung aufzufangen und zeitnah einer verhältnismäßi- 
gen Entscheidung zuführen zu können. Es ist daher unsere Anregung, einen 
Modus zu wählen, der es ermöglicht, Datensätze anzupassen und ggf. zu er- 
weitern oder zu beschränken. 


Zur Kompensation dieser Delegation sind bei einem gelockerten Zweckbin- 
dungsverständnis erhöhte Anforderungen an die gesetzlichen Vorgaben zur 
Bestimmung der erforderlichen Datensätze im konkreten Fallgeboten, die die 
Kriterien für die Entscheidung durch eine hohe legislative Dichte vorprägen. 
Weiterhin muss eine angemessene Aufsicht über die entscheidende Stelle und 
die Datenplattform garantiert werden. 


3.1.4 Ermächtigungsgrundlagen und Offenbarungsbefugnisse 


Erforderlich wäre des Weiteren eine gesetzliche Übermittlungsbefugnis oder 
-pflicht der Krankenkassen und eine Verarbeitungsbefugnis für die externe 
Stelle. Die Übermittlung an diese Stelle müsste geeignet sein, die Grenzen der 
bei den Krankenkassen bestehenden Geheimhaltungspflicht nach s$ 203 StGB 
zu überwinden, also eine Offenbarungsbefugnis gegenüber der externen Platt- 
form beinhalten. Gleichzeitig sollten die Mitarbeiter der externen Plattform 
$ 203 StGB unterliegen. Übermittlungsbefugnisse der externen Plattform an 
Dritte wären auszuschließen. Zur weiteren Sicherung einer Verarbeitung der 
Daten, die aber gleichzeitig externen Sachverstand nicht ausschließt, könnte 
der Gesetzgeber sich am Vorbild der On-Site-Datenauswertung nach Bundes- 
statistikgesetz orientieren und ggf. die Kategorie der „formal anonymisierten“ 
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Daten (vgl. $s 5a Abs. 3 Bundestatistikgesetz) übernehmen. Die Beteiligung 
externer Forscher könnte dann ohne Datentransfer in einer kontrollierten Aus- 
wertungsumgebung gewährt werden. 


3.1.5 Eigenständiges Institut für Sozialdatenforschung 


Eine solche Datenplattform könnte als eigenständige Stelle etwa als „Institut 
für Sozialdatenforschung“ - von den Krankenkassen getrennt - organisato- 
risch bei einer fachlich geeigneten, selbstständigen Bundesoberbehörde an- 
gegliedert werden. In Betracht kämen beispielsweise das Deutschen Institut 
für Medizinische Dokumentation und Information (DIMDI) oder das Bundes- 
institut für Arzneimittel und Medizinprodukte (BfArM). Die Rechts- oder Fach- 
aufsicht würde durch das Bundesministerium für Gesundheit (BMG) gewähr- 
leistet. 


3.1.6 Grundrechtskonformes Schutzniveau und Evaluation 


Ob eine solche Stelle in $ 35 SGB I a.F. aufgenommen werden sollte, ist frag- 
lich und müsste im Einzelnen untersucht werden. Ein Absinken des Daten- 
schutzniveaus ist beieiner entsprechenden Ausgestaltung der zu schaffenden 
gesetzlichen Grundlage nicht zwingend. Gleichzeitig könnten Probleme bei 
der Anwendung des Rechts ausgeschlossen werden, wenn nicht der gesamte 
Kanon des Sozialdatenschutzrechts auf die Datenplattform Anwendung findet 
und sich die zu Anfang des Kapitels beschriebenen Auslegungsfragen und -wi- 
dersprüche nicht fortführen lassen würden. Im Hinblick auf die besondere 
Sensibilität der Daten sind selbstredend besonders hohe Anforderungen an 
technische und organisatorische Maßnahmen hinsichtlich der Artund Weise 
der Datenverarbeitung zu stellen. 


Um eine dauerhafte Vereinbarkeit der Ausgestaltung mit den kollidierenden 
Grundrechtsgütern zu gewährleisten, sollte eine fortlaufende Evaluation und 
Bewertung durch die Exekutive oder eine unabhängige gutachterliche Exper- 
tise erfolgen. 


3.2 Anforderungen an die Ausgestaltung einer Einwilligung 
mit breiter Zweckbestimmung (Broad Consent) 


Für den Bereich der wissenschaftlichen Forschung ist die Möglichkeit einer 
erweiterten Einwilligungin Form des Broad Consent in der DSGVO bereits an- 
gelegt. Gemäß Erw.Cr. 33 soll es betroffenen Personen möglich sein, ihre Ein- 
willigung für bestimmte Bereiche der wissenschaftlichen Forschung und 
nicht, wie noch gegenwärtig, ausschließlich für konkrete Vorhaben abzuge- 
ben. Damit soll dem Problem der Wissenschaft Rechnung getragen werden, 


108 


3 Über die aktuellen Gesetzesentwürfe hinausgehende Reformüberlegungen 


dass die Zwecke der Datenverarbeitung im Bereich der wissenschaftlichen 
Forschung zum Zeitpunkt der Datenerhebung oftmals nicht vollständig an- 
gegeben werden können. 


Die DSGVO fordert in Erw.Gr. 33 ausdrücklich, dass ein Broad Consent unter 
Einhaltung der anerkannten ethischen Standards der wissenschaftlichen 
Forschung eingeholt werden soll. Diesen Standards und somit der Prüfung der 
Forschungsvorhaben durch die Ethikkommissionen wird damit zusätzlich 
eine datenschutzrechtliche Relevanz eingeräumt. Auch wenn ethische Stan- 
dards bereits gegenwärtig einzuhalten sind, könnten Verstöße künftig zu 
einer rechtswidrigen Datenverarbeitung führen, wenn die Einwilligung eines 
Betroffenen diesen Standards nicht genügt. 


Die europarechtlichen Vorgaben hat der nationale Gesetzgeber in $ 67b Abs. 3 
SGB X aufgegriffen und umgesetzt. Für Einwilligungen in die Übermittlung 
zu Forschungszwecken bestimmt $ 67b Abs. 3 SGB X, dass die Einwilligung 
sowohl in Bezug auf ein bestimmtes Vorhaben als auch im weiteren Umfang 
für bestimmte Bereiche der wissenschaftlichen Forschung erteilt werden 
kann. Laut der Gesetzesbegründung soll mit dieser „erweiterten“ Einwilligung 
dem Umstand Rechnung getragen werden, dass konkrete Forschungsvorhaben 
zum Zeitpunkt der Datenerhebung häufig noch nicht benannt werden kön- 
nen, sondern im Laufe der Zeit sukzessiv entwickelt werden.’ Das entspricht - 
systematisch kohärent - auch dem erweiterten Zweckbindungsverständnisin 
$75 Abs. 4a SGB X, mit dem die Möglichkeit angelegt wurde, für ein bestimm- 
tes Vorhaben übermittelte Sozialdaten für weitergehende Forschungsfragen 
des gleichen Forschungsbereichs zu verwenden, soweit die Forschungsfrage 
iminhaltlichen Zusammenhang zur Ausgangsfrage steht und die Behörde die 
Verwendung im entsprechenden Umfang genehmigt hat. 


3.2.1 Bestimmter Bereich der wissenschaftlichen Forschung 


Die Formulierung sowohl der DSGVO als auch des $ 67b Abs. 3 SGB X wirft je- 
doch die Frage auf, was unter einem „bestimmten Bereich der wissenschaft- 
lichen Forschung“ zu verstehen ist. Der deutsche Gesetzgeber macht in der 
Gesetzesbegründung zum SGB X deutlich, dass er auch im Rahmen des Broad 
Consent an den Grundzügen der bestimmten Einwilligung nach Art. 4 Nr. 11 
DSGVO festhält und nicht etwa die Einholung einer Generaleinwilligung er- 
laubt. 5 So genügt eine pauschale Bezugnahme auf Forschungszwecke allge- 
mein („Open Consent“) dem Bestimmtheitsgrundsatz auch im Rahmen des 
Broad Consent nicht. Zwar muss sich die Einwilligung nicht mehr auf ein 
konkret benanntes Vorhaben richten. Dennoch istzumindest der Forschungs- 


254 BT-Drs. 18/12611, S. 113; vgl. hierzu auch Erw.Gr. 33 S. 1. 
255 BT-Drs. 18/12611, S. 113. 
256 Heberlein, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 6 Rn. 9. 
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bereich vorher explizit festzulegen. Dementsprechend fordert der Gesetzgeber, 
dass der Forschungsbereich nicht zu allgemein gefasst sein darf und sich auf 
ein thematisch abgegrenztes Feld beziehen muss, welches schrittweise kon- 
kretisiert wird.” Wie eng der thematisch begrenzte Forschungsbereich jedoch 
im Einzelnen sein muss und ob der Betroffene über die Konkretisierung infor- 
miert werden muss, geht aus der Gesetzesbegründung nicht hervor. Art. 13 
Abs. ılit. c) und 14 Abs. ı lit. c) DS.-GVO bestimmen allerdings, dass die be- 
troffene Person über die „Zwecke der Datenverarbeitung“ informiert werden 
muss. Die Angaben müssen so konkret sein, dass die betroffene Person sich 
ein klares Bild machen kann, welche Daten von ihr wofür verarbeitet werden. 


3.2.2 Bestimmtheit des Forschungsbereichs 


Demzufolge ist es empfehlenswert, den gewählten Forschungsbereich, möge 
er auch vergleichsweise weit gefasst sein, so genau wie möglich zu definieren 
und bei sehr weitem Verständnis thematisch zu umreißen und entsprechend 
zu beschreiben. Im Bereich des Sozialdatenschutzrechts wird sich die Begren- 
zung jedoch unabhängig von der Auslegung des Begriffs des Forschungsbe- 
reichs regelmäßig aus dem Erfordernis des inhaltlichen Zusammenhangs mit 
dem Ausgangsvorhaben ($ 75 Abs. 2, 4a SGB X) ergeben. Eine Einwilligung in 
der Form, dass neben der Verarbeitung zu Zwecken des Ausgangsvorhabens 
auch in die Speicherung und den Open Access im Rahmen eines bestimmten 
Repositoriums zugestimmt wird, ® dürfte hier ausscheiden. Das Erfordernis 
des inhaltlichen Zusammenhangs ist dabei nicht zu unterschätzen, da dieser 
gemäß s 75 Abs. 4a S. 4 SGB X im Rahmen der Anzeige an die Aufsichtsbehör- 
de angezeigt werden muss. 


3.2.3 Konkretisierungspflicht 


Eine nachträgliche Informationspflicht zur (schrittweisen) Konkretisierung 
der Folgeforschungsfragen, wie man sie aus der Gesetzesbegründung durch- 
aus herauslesen kann, würde zwar grundsätzlich den Interessen des Betroffe- 
nen Rechnung tragen und die effektive Ausübung des Widerspruchsrechts 
ermöglichen. Andererseits stünde eine solche Pflicht im Widerspruch zur Idee 
des Broad Consent, der gerade verhindern soll, dass der Verantwortliche für 
jedes Vorhaben erneut Kontakt zum Betroffenen herstellen und eine Einwil- 
ligung einholen muss. Zudem wurde die bereits vielfach diskutierte und in 
einigen Bereichen bereits umgesetzte Idee des „Dynamic Consent“ gerade 
nicht in die DSGVO aufgenommen. Eine nachträgliche Informationspflicht 


257 BT-Drs. 18/12611, S. 113. 
258 Vgl. hierzu Schaar, ZD 2017, 213 (215). 
259 Hierzu im Einzelnen: Raum, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 89 Rn. 27. 
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findet weder in der DSGVO noch in den nationalen Vorschriften eine rechtli- 
che Grundlage. 


3.2.4 Zeitliche Reichweite 


Im Rahmen der Einwilligung mit breiter Zweckbestimmung stellt sich auch 
die Frage nach der zeitlichen Dimension: Zum einen, ob eine Einwilligung 
auch zukünftig erhobene Sozialdaten umfassen kann und zum anderen, wie 
lange eine einmal erteilte Einwilligung wirksam bleibt. 26° 


Erstere Frage stellt sich, wenn bei Erteilung einer Einwilligung das betreffen- 
de Datum noch nicht existiert, die betroffene Person also noch gar nicht ein- 
schätzen kann, ob sie diesbezüglich mit der Verarbeitung einverstanden sein 
wird. Hierbei handelt es sich aber um eine typische Problematik der informier- 
ten Einwilligung. Es kommt dabei nicht darauf an, dass die betroffene Person 
die Details eines Datums kennt, sondern die Art der Daten und dieZwecke, zu 
denen sie verarbeitet werden sollen. Würde man die Forderung erheben, dass 
jedes einzelne Datum bekannt ist, würde eine im Vorhinein zu erteilende Ein- 
willigung kein taugliches Instrument mehr darstellen. Eine Einwilligung 
kann also - je nach Ausgestaltung - auch zukünftig erhobene Sozialdaten um- 
fassen. 


Die bloße Festlegung auf einen Bereich, anders als bei der Festlegung auf ein 
konkretes Vorhaben, umfasst zudem gegebenenfalls besonders lange Zeiträu- 
me. Zwar existiert im Rahmen der Einwilligung keine Vorgabe zur zeitlichen 
Geltung der Erklärung. Sofern der Betroffene von der Verarbeitung seiner 
Daten jedoch keine unmittelbaren Auswirkungen erfährt, könnte jedoch er- 
wogen werden, dass eine Einwilligung verfällt und eine erneute Einwilligung 
nach dem Ablauf einer gewissen Zeitspanne notwendig ist, damit der Betrof- 
fene sein Widerrufsrecht auch nach längerer Zeit noch effektiv wahrnehmen 
kann.°® Ein solches Erfordernis lässt sich jedoch nicht aus dem Gesetz ablei- 
ten. Nach hier vertretener Ansicht gelten Einwilligungen daher unbefristet. 
Es kann sich im Interesse des Betroffenen aber empfehlen, diesen im Rahmen 
der Einwilligung auf den zeitlichen Rahmen eines Vorhabens hinzuweisen 
(insbesondere bei langer Dauer) und im Zweifel eine Bestätigung oder zumin- 
dest einen Hinweis auf die weitere Datenverarbeitung nach dem Ablaufeiner 
längeren Frist vorzusehen. 


Im Sozialdatenschutzrecht kann dies im Rahmen von $ 75 SGB X entbehrlich 
sein, da dieses von Gesetzes wegen eine Beschränkung der Verarbeitungs- und 
Speicherdauer durch die Genehmigung vorsieht. 


260 Siehe Pflichtenheft Nr. 3.2. 
261 Ausgangspunkt solcher Erwägungen dürfte zumeist die Rechtsprechung zu über längere Zeit ungenutzte 
Werbeeinwilligungen darstellen, vgl. etwa LG München, Urteil vom 8.4.2010, Az. 17 HK O 138/10. 
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3.2.5 Vorgaben des Art. 89 DSGVO 


Für den Broad Consent im Bereich der wissenschaftlichen Forschung gelten 
ebenso die Vorgaben des Art. 89 DSGVO. Der Verantwortliche hat geeignete 
Garantien für die Rechte und Freiheiten der Betroffenen zu gewährleisten. 
Dabei sind geeignete technische und organisatorische Maßnahmen vorzuse- 
hen, die dies sicherstellen und insbesondere den Grundsatz der Datenmini- 
mierung - unabhängig vom Vorliegen einer legitimierenden Einwilligung - 
umsetzen. 


3.2.6 Einhaltung ethischer Standards 


Auch wenn der deutsche Gesetzgeber die Einhaltung ethischer Standards der 
wissenschaftlichen Forschung nicht unmittelbar in die Vorschriften des SGB X 
aufgenommen hat, ergibt sich diese Anforderung aus den Erwägungsgründen 
der DSGVO. Der Gesetzgeber kann aufgrund der Öffnungsklauseln abweichen- 
de, strengere Regelungen schaffen. Eine Unterschreitung des Mindeststan- 
dards ist jedoch nicht zulässig. Daher spricht viel dafür, auch bei Forschungs- 
vorhaben mit Sozialdaten die ethischen Standards der wissenschaftlichen 
Forschung einzuhalten, obgleich es sich bei Erwägungsgründen nicht um 
einen unmittelbar Geltung entfaltenden Verordnungstext handelt. Verbind- 
liche Standards sind insbesondere in der Deklaration von Helsinki” kodifi- 
ziert. Darüber hinaus spielen aber auch Empfehlungen und Leitlinien zur 
Sicherung der guten wissenschaftlichen Praxis, Ethik-Kodizes oder Vorgaben 
der Berufsordnungen eine wesentliche Rolle’®, die allesamt die freiwillige 
informierte Einwilligung für eine Teilnahme fordern. Die Option des „Broad 
Consent“ ist im Hinblick auf Datenschutz und die Ethikleitlinien nicht un- 
umstritten. Es stellt sich die Frage, wie informiert eine Einwilligung noch 
sein kann, wenn der teilnehmenden Person die genauen Inhalte einer zukünf- 
tigen Verwendung von Daten nicht mitgeteilt werden können.“ Fraglich ist 
in diesem Zusammenhang auch, wie „weite Einwilligungen“ den Anforde- 
rungen der Ethikleitlinien gerecht werden können. s Um den Anforderungen 
an eine möglichst informierte Einwilligung zu genügen, ist beieinem „Broad 
Consent“ die Aufklärung besonders wichtig. Hier sollte dem Teilnehmer er- 
klärt werden, dass die späteren Forschungsprojekte zum Zeitpunkt der Daten- 
erhebung noch unbekannt sind. Außerdem sollte über die geplante Aufbe- 
wahrungsdauer gesprochen und eine solche ggf. auch schriftlich festgehalten 


262 Bundesärztekammer, WMA Deklaration von Helsinki - Ethische Grundsätze für die medizinische Forschung am 
Menschen, 2013, abrufbar unter: http://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/ 
pdf-Ordner/International/Deklaration-von-Helsiniki_2013_DE.pdf (abgerufen: 04.09.2017). 

263 Schaar, ZD 2017, 213 (217); BT-Drucks. 18/12611, S. 113. 

264 Herbst, DuD 2016, 371 (373). 

265 Schaar, ZD 2017, 213 (220). 

266 Herbst, DuD 2016, 371 (373). 
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werden. Es ist sicherzustellen, dass sich der Teilnehmer über die Tragweite 
seiner Einwilligung bewusst ist. Auch muss klar sein, dass die Daten zu For- 
schungszwecken verwendet werden und die Forschung einen Nutzen für die 
Allgemeinheit bezweckt. % Die Zwecke der Datenverarbeitung sollten so genau 
wie zum Zeitpunkt der Einwilligung möglich beschrieben und eingegrenzt 
werden. 


267 Herbst, DuD 2016, 371 (373). 
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Die Untersuchung der sozialdatenschutzrechtlichen Anforderungen an die 
Verarbeitung von personenbezogenen Gesundheitsdaten zu Zwecken der For- 
schung, Planung und Qualitätssicherung anhand der im Rahmen des SAH- 
RA-Projekts zu bewertenden Szenarien zeigt die besonderen Herausforderun- 
gen des europarechtlich überformten Rechtsgebiets zu einem Zeitpunkt des 
laufenden Gesetzgebungsprozesses. Eine abschließende Bewertung der Zu- 
lässigkeit, also das „Ob“ der Datenumgänge auf der einen Seite, aber auch die 
Anforderungen an die Durchführung, also das „Wie“ der Datenverarbeitungen 
aufder anderen Seite, sind in einem komplexen rechtlichen System eingebet- 
tet. Während mit der DSGVO der sekundärrechtliche Rahmen des Unions- 
rechts gesetzt ist, und auch das Sozialdatenschutzrecht nach den ss 35 SGB I 
i.V.m. $$ 67ff. SGB X bereits an die DSGVO angepasst wurde, stehen die we- 
sentlichen Änderungen im fachspezifischen Datenschutzrecht des SGB V noch 
aus. Der hier gewählte Ansatz, auf Basis des bisher bekannten Gesetzgebungs- 
standes, eine umfangreiche Untersuchung der rechtlichen Situation durch- 
zuführen, lässt aber bereits eine sehr weitgehende Bewertung zu. Dies gilt 
insbesondere, da der Bundesgesetzgeber in seiner bisherigen Anpassung des 
SGB I und SGB X sein Bestreben aus den Gesetzgebungsverfahren auf europäi- 
scher Ebene, das nationale Sozialdatenschutzrecht soweit wie möglich beibe- 
halten zu können, konsequent verfolgt hat. Mit den Forschungstatbeständen 
im SGB X wurde von den gelockerten Zweckbindungsverständnissen zur Pri- 
vilegierung der wissenschaftlichen Forschung Gebrauch gemacht. Im Übrigen 


115 


| Rechtsgutachten zur Nutzung von Sozial- und Gesundheitsdaten (SAHRA-Projekt) 


wurden Struktur und Systematik des Sozialdatenschutzes weitgehend beibe- 
halten. Das lässt darauf schließen, dass auch mit den kommenden Anpas- 
sungs- und Umsetzungsgesetzgebungen an die DSGVO ein tendenziell kon- 
servativer Ansatz gewählt werden wird, der gewisse Freiheiten für die For- 
schung mit sich bringen kann. Das soll allerdings nicht bedeuten, dass diese 
zurückhaltenden Reformen nicht ganz wesentliche Auswirkungen auf die 
Bereiche der Forschung, Planung und Qualitätssicherung haben können. 


Die wesentlichen Prinzipien des Datenschutzrechts ergeben sich - neben den 
unionsrechtlichen und verfassungsrechtlichen Grundrechtsgewährleistun- 
gen - künftig unmittelbar aus der DSGVO. Hierzu gehören 


die Rechtmäßigkeit der Verarbeitung, 
der Zweckbindungsgrundsatz, 

die Verarbeitung nach Treu und Glauben, 
die Datenminimierung, 
Datentransparenz, 

Richtigkeit der Daten, 
Speicherbegrenzungen, 

Integrität und Vertraulichkeit, 
Rechenschaftspflichten, 

der Grundsatz der Direkterhebung und 
das Prinzip der Erforderlichkeit. 


Der Begriff der personenbezogenen Daten eröffnet den sachlichen Anwen- 
dungsbereich des europäischen und nationalen Datenschutzrechts in Abgren- 
zung zu anonymen Daten. Der Begriff des Anonymisierens wird zwar in der 
DSGVO - anders als bisher im nationalen Recht - nicht mehr definiert, aller- 
dings bedeutet dies nicht, dass die Kategorie der anonymen Daten, die ohne 
datenschutzrechtliche Restriktionen verarbeitet werden können, damit ent- 
fallen sei. Vielmehr kann unter Heranziehung von Erwägungsgrund 26 der 
DSGVO mithilfe der Rechtsprechung des EuGH zum Personenbezug von IP-Ad- 
ressen davon ausgegangen werden, dass sich der Personenbezug relativ be- 
stimmen wird und dann abzulehnen ist, wenn die Herstellung des Personen- 
bezugs mit einem unverhältnismäßigen Aufwand verbunden wäre. 


Dort, wo die DSGVO Öffnungsklauseln für die mitgliedsstaatliche Gesetzge- 
bung bereithält, bleibt jedoch ein Handlungsspielraum, der - insbesondere 
im öffentlichen Gesundheitswesen - umfassende nationale Regelungen er- 
möglicht. 


Für die Verarbeitung von Sozialdaten der Krankenkassen zu Zwecken der For- 
schung, Planung und Qualitätssicherung, ggf. unter Einbeziehung einer ex- 
ternen Plattform, bedeutet dies, dass neben der DSGVO das Sozialdatenschutz- 
recht nach SGB I und SGB X sowie die fachspezifischen Normen des SGB V An- 
wendung finden. 
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Hieraus ergeben sich die Voraussetzungen zur Bewertung der im Zentrum die- 
ses Gutachtens stehendenden Szenarien: 


Für das eingangs beschriebene Szenario 1, bei dem eine Krankenkasse die bei 
ihr gespeicherten Sozialdaten selbst auswertet und lediglich anonyme Aus- 
wertungsergebnisse an externe Partner übermittelt, folgt aus der gegenwärtig 
bewertbaren Rechtssituation, dass dies nach den Vorgaben gemäß $ 67b Abs. ı 
S. 1, 2 SGB X i.V.m. $ 284 Abs. 3, $ 287 SGB V zulässig ist. Die Forschungsvor- 
haben sind dabei nicht auf medizinische Fragestellungen begrenzt. Probleme 
bereiten hierbei die Formulierungen zu Anonymisierungsanforderungen, die 
in ihrer derzeitigen Ausgestaltung nach bisheriger Auslegung geeignet sind, 
Forschungsvorhaben in ihrem Nutzen für die Allgemeinheit deshalb einzu- 
schränken, weil der verwertbare Datenbestand stark auf bereits abgeschlos- 
sene Sachverhalte reduziert wäre. Ein Rückgriff auf allgemeine Forschungs- 
klauseln im SGB X ist nach bisheriger Auslegung des $ 287 SGB V nicht möglich. 
Der Gesetzgeber könnte die anstehende Anpassung an die DSGVO jedoch als 
Anlass nehmen, dies zu ändern. 


Auch die Auswertung von Sozialdaten durch den Leistungsträger auf Grund- 
lage des gesetzlichen Tatbestandes des s 67c Abs. 2 Nr. 2 SGB X ist zulässig. Ob 
eine Anwendung von $ 75 Abs. 2 und Absatz 4 S. 1 SGB X in Betracht kommt, 
ist allerdings fraglich. Die besseren Argumente sprechen dafür, dass die sich 
aus dem Wortlaut ergebende Begrenzung auf Forschungsvorhaben eine An- 
wendung für Planungsvorhaben nicht zulässt. 


Die Selbstauswertung durch einen Leistungsträger zum Zwecke der Qualitäts- 
sicherung scheidet wegen der strengen Anforderungen des $ 299 Abs. 1a SGB V 
aus. Anderweitige Erlaubnisvorschriften sind insoweit nicht ersichtlich. 


Alternativ zu einer gesetzlichen Ermächtigungsnorm kann sowohl ein For- 
schungsvorhaben, ein Planungsvorhaben als auch ein Qualitätssicherungs- 
vorhaben auf eine Einwilligung gestützt werden. Da der Gesetzgeber von sei- 
ner Regelungskompetenz zum vollständigen Ausschluss der Einwilligung im 
Bereich der Verarbeitung von besonderen Kategorien personenbezogener Daten 
keinen Gebrauch gemacht hat, ist eine Einwilligung unter Rückgriff auf die 
DSGVO stets zulässig. Im Rahmen einer denkbaren Anpassung des SGB V an 
die DSGVO könnte der deutsche Gesetzgeber jedoch die Möglichkeit der Ein- 
holung einer Einwilligungserklärung für besondere Kategorien personenbe- 
zogener Daten ausschließen oder nur unter erhöhten Anforderungen zulassen. 


Bei allen Verarbeitungen sind angemessene, spezifische Maßnahmen zur 
Wahrung der Interessen der betroffenen Personen vorzusehen, wie sie sich 
aus der DSGVO bzw. dem nationalen Datenschutzrecht ergeben. Ein Geneh- 
migungserfordernis besteht ausschließlich bei einer Verarbeitung von Sozial- 
daten zu Forschungszwecken. 
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| Rechtsgutachten zur Nutzung von Sozial- und Gesundheitsdaten (SAHRA-Projekt) 


Im Szenario 2, in dem Leistungsträger der Gesetzlichen Krankenversicherung 
und eine externe Einrichtung kooperieren und Sozialdaten für ein bestimmtes 
Vorhaben an die externe Einrichtung übermitteln, die diese im Sinne des Vor- 
habens verarbeitet und auswertet, ergibt sich Folgendes: 


Die Weitergabe von Sozialdaten an eigenverantwortlich handelnde externe 
Einrichtungen ist in den Bereichen der wissenschaftlichen Forschung, der 
Planung im Sozialleistungsbereich sowie der Qualitätssicherung in unter- 
schiedlichem Umfang möglich. Für die Qualitätssicherung ergibt sich die Be- 
fugnis zur Übermittlung allein aus der spezialgesetzlichen Norm des $ 299 
SGB V, die eine Übermittlung ausschließlich nach den Vorgaben der Beschlüs- 
se und Richtlinien des G-BA legitimiert. 


Für den Bereich der wissenschaftlichen Forschung ist die Übermittlung an 
externe Stellen vornehmlich auf Grundlage von $$ 75, 76 SGB X möglich. Dabei 
stellen die $$ 75, 76 SGB X jedoch detaillierte Regelungen auf, deren Einhal- 
tung im Rahmen eines obligatorischen Genehmigungsverfahrens überprüft 
wird. So stellen die vorzuhaltenden technischen und organisatorischen Maß- 
nahmen, der Erforderlichkeitsgrundsatz und das grundsätzliche Einwilli- 
gungserfordernis, welches aufgrund der Ausweitung des strafrechtlichen Ge- 
heimnisschutzes ($ 203 StGB) auf die Übermittlung der von Ärzten stammen- 
den Abrechnungsdaten nach $ 76 SGB X auch nicht unter den in $ 75 SGB X 
genannten Voraussetzungen entbehrlich ist, die wesentlichen Anforderungen 
an die Zulässigkeit des Vorhabens dar. Festzuhalten bleibt abschließend, dass 
die Übermittlung von Sozialdaten zum Zweck der wissenschaftlichen For- 
schung einem strengen Genehmigungsvorbehalt unterliegt und der Einwilli- 
gung der Betroffenen in Form einer Schweigepflichtentbindung bedarf. Keiner 
Schweigepflichtentbindung bedarf es in der Regel bei pseudonymisierten 
Daten, da es insofern an der Offenbarung eines Geheimnisses im Sinne des 
$ 203 StGB fehlen wird, wenn der Empfänger das Pseudonym nicht aufdecken 
kann. 


Für die Planung im Sozialleistungsbereich gestaltet sich die Übermittlung an 
eigenverantwortlich handelnde, externe Stellen ebenso wie im Bereich der 
Forschung. Einschränkend kommt hier hinzu, dass die externe Stelle nur eine 
öffentliche Stelle sein kann, bei der die Planung zum zugewiesenen Aufgaben- 
bereich gehört. 


Soll die externe Stelle als Auftragsverarbeiter eingebunden werden, bedarf dies 
nach hier vertretener Auffassung grundsätzlich keiner gesonderten Ermäch- 
tigungsgrundlage. Vielmehr ist die Einbindung als Teil der Verarbeitungstä- 
tigkeit des Verantwortlichen zulässig, wenn dieser zu der geplanten Form der 
Verarbeitung legitimiert ist und die zusätzlichen Anforderungen des Art. 28 
DSGVO sowie des $ 80 SGB X eingehalten werden. Neben dem Erfordernis eines 
Auftragsverarbeitungsvertrages ergibt sich aus $ 80 Abs. 3 SGB X eine Ein- 
schränkung für die Beauftragung von nicht-öffentlichen Stellen, die nur unter 
den beschriebenen, sehr engen Voraussetzungen einbezogen werden können. 
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4 Zusammenfassung und Gesamtergebnis 


Aus $ 78 SGB X folgt sowohl die streng verstandene Zweckbindung hinsicht- 
lich einer Verarbeitung der Sozialdaten durch den Empfänger, der wie eine in 
$ 35 SGB I genannte Stelle an das Sozialgeheimnis gebunden ist, als auch die 
Befugnis zur Verarbeitung zu diesem Zweck. Auf sonstige Erlaubnistatbe- 
stände - insbesondere solche des allgemeinen Datenschutzrechts - kann nicht 
zur Weiterverarbeitung zurückgegriffen werden. Alternativ wäre es zwar mög- 
lich, eine Einwilligung nach den Vorgaben der DSGVO einzuholen, allerdings 
kann die externe Stelle als durch 5 78 Abs. ı SGB X gebundener Empfänger die 
erhaltenen Daten nicht zum Zweck der Einholung einer solchen Einwilligung 
verwenden, sodass praktisch kaum ein Anwendungsfall bestehen dürfte. 


Eine Auftragsverarbeitung richtet sich in jedem Fall nach den Vorgaben des 
$ 80 SGB X, in dessen Rahmen sie auch zulässig ist. 


Die Verarbeitung nach einer Übermittlung ist von der Genehmigung nach $75 
Abs. 4 SGB X umfasst. Im Falle der Auftragsverarbeitung ist eine Anzeige 
gegenüber der Rechts- oder Fachaufsicht erforderlich. 


In Szenario 3A erhält die externe Plattform Sozialdaten von unterschiedlichen 
Krankenkassen, führt diese zusammen und wertet sie selbst aus. Im Anschluss 
werden nur die anonymisierten Ergebnisse weitergegeben. 


Die Übermittlung und Auswertung von Sozialdaten an eine zu Forschungs- 
zwecken folgt analog Szenario 2. Für eine Datensammlung auf Vorrat besteht 
jedoch keine gesetzliche Grundlage. 


Eine Auftragsverarbeitung zu etablieren, wird hingegen kaum derart möglich 
sein, dass ein Auftragsverarbeiter gleichzeitig für mehrere Auftragsverarbeiter 
tätig wird, ohne in Konflikt mit den jeweiligen Weisungsrechten zu kommen, 
zumal der notwendige Konkretisierungsgrad der erforderlichen Verarbeitungs- 
schritte regelmäßig nicht erreicht werden dürfte. Bestünden eigene Entschei- 
dungsspielräume der externen Stelle hinsichtlich der Verarbeitungen, so wäre 
dies als Auftragsverarbeitung ohnehin nicht abbildbar. 


Für weitere Zwecke wird in der Regel nur eine Einwilligung als Ermächti- 
gungsgrundlage in Betracht kommen. 


In Szenario 3B erhält die externe Plattform Sozialdaten von den unterschied- 
lichen Krankenkassen, um diese nicht selbst auszuwerten, sondern mit den 
Daten der anderen Krankenkassen ggf. zusammenzuführen und zu Auswer- 
tungszwecken an eine abermals dritte Stelle zu übermitteln. 


Abweichend von den Ergebnissen zu Szenario 3A kommt hier auch entspre- 
chend ș 67d Abs. 3 SGB X eine Übermittlung von Sozialdaten über Vermittlungs- 
stellen im Rahmen einer Auftragsverarbeitung als zulässige Alternative in 
Betracht, sodass die folgende Übermittlung an die weitere Stelle im Ergebnis 
eine Übermittlung der verantwortlichen Krankenkasse darstellen würde, de- 
ren Zulässigkeit sich nach den vorbeschriebenen Voraussetzungen bestimmt. 
Besondere Beachtung findet bei den Weiterübermittlungen die absolute 
Zweckbindung des $ 78 Abs. 1 SGB X. 
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Abkürzungsverzeichnis 


AOK 
BDSG 


BDSG a.F. 
BSG 

DFG 
DSAnpUG-EU 
DSGVO 


EG 
Erw.Gr. 
EU 
EuGH 
GKV 
m.W.z. 
PDF 
SAHRA 


SGB 
SGB I a.F. 


SGB I 


SGB X a.F. 


SGB X 


Allgemeine Ortskrankenkasse (www.aok.de) 
Bundesdatenschutzgesetz in der Fassung des Gesetzes zur Anpas- 
sung des Datenschutzrechts an die Verordnung (EU) 2016/679 und 
zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz- 
Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) vom 
30. Juni 2017% (m.W.Z. 25.05.2018) 

Bundesdatenschutzgesetz in der am 30.09.2017 geltenden Fassung 
Bundessozialgericht 

Deutsche Forschungsgemeinschaft (www.dfg.de) 

Datenschutz- Anpassungs- und Umsetzungsgesetz 

Verordnung des Europäischen Parlaments und des Rates zum 
Schutz natürlicher Personen bei der Verarbeitung personenbezo- 
gener Daten, zum freien Datenverkehr und zur Aufhebung der 
Richtlinie 95/46/EG - Datenschutz-Grundverordnung (Verordnung 
2016/679) 

Europäische Gemeinschaft 

Erwägungsgrund der DSGVO 

Europäische Union 

Europäischer Gerichtshof 

Gesetzliche Krankenversicherung 

mit Wirkung zum 

Portable Document Format von Adobe (www.adobe.com) 

Smart Analysis - Health Research Access; vom BMWi gefördertes 
Verbundprojekt zum Aufbau einer Datenplattform für Sozial- und 
andere Gesundheitsdaten 

Sozialgesetzbuch 

Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - in der bis zum 
25.05.2018 geltenden Fassung 

Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - in der Fassung 
des Gesetzes zur Änderung des Bundesversorgungsgesetzes und 
anderer Vorschriften vom 17. Juli 2017% (m.W.v. 25.05.2018) 
Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und 
Sozialdatenschutz - in der bis zum 25.05.2018 geltenden Fassung 
Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und 
Sozialdatenschutz -in der Fassung des Gesetzes zur Änderung des 
Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 
2017”° (M.W.v. 25.05.2018) 


268 BGBl. | 2017, 2097. 
269 BGBl. | 2017, 2541. 
270 BGBl. | 2017, 2541. 


120 


Abkürzungsverzeichnis 


StGB Strafgesetzbuch in der Fassung des Gesetzes zur Neuregelung des 
Schutzes von Geheimnissen bei der Mitwirkung Dritter an der 
Berufsausübung schweigepflichtiger Personen vom 30. Oktober 


20177 
StGB a.F. StGB in der am 30.09.2017 geltenden Fassung 
TMF TMF - Technologie- und Methodenplattform für die vernetzte me- 


dizinische Forschung e.V. (www.tmf-ev.de) 


271 BGBI. | 2017, 3618. 
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Spezielle datenschutzrechtliche 
Fragen der Weiternutzung 

von Sozial- und Gesundheitsdaten 
für die medizinische Forschung 


Zusammenfassung 


Das Gutachten soll Rechtsfragen zur Nutzung von Sozial- und Gesundheits- 
daten beantworten, die durch neue gesetzliche Regelungen verursacht und 
für das BMWi-Forschungsprojekt „Smart Analysis - Health Research Access“ 
(SAHRA) von Bedeutung sind. Diese neuen Regelungen sollen analysiert und 
mit der bisherigen Rechtslage verglichen werden. 


Die neuen Regelungen 


Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 
27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen- 
bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtli- 
nie 95/46/EG (Datenschutz-Grundverordnung) gilt vom 25. Mai 2018 an mit all 
ihren Regelungen in allen Mitgliedstaaten unmittelbar. Sie bestimmt vorran- 
gig das künftige Datenschutzrecht in Europa. Dieses wird aber nicht allein 
durch die Union geprägt. Vielmehr wird sie in vielen Bereichen und Aspekten 
ergänzt durch Datenschutzregelungen der Mitgliedstaaten. Dadurch entsteht 
im Datenschutz eine Ko-Regulierung durch Union und Mitgliedstaaten. Erst 
das komplizierte Zusammenwirken von Unionsrecht und Recht der Mitglied- 
staaten bewirkt das zukünftige Europäische Datenschutzrecht. 


Daher sind neben der Datenschutz-Grundverordnung das neue Bundesdaten- 
schutzgesetz vom 30. Juni 2017 (BDSC-neu) und die Neufassung des Sozial- 
datenschutzes im SGB I und X (SGB I-neu und SGB X-neu) zu beachten. Diese 
neuen gesetzlichen Regelungen treten am 25. Mai 2018 - zusammen mit dem 
Geltungsbeginn der Datenschutz-Grundverordnung in Deutschland - in Kraft 
und werden das bisherige Bundesdatenschutzgesetz (BDSG a.F.) und die bis- 
herigen Regelungen zum Sozialdatenschutz (SGB a.F.) zu diesem Zeitpunkt 
vollständig ersetzen. 


Zu berücksichtigen ist aber auch die Änderung des $ 203 StGB durch das Gesetz 
zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter 
an der Berufsausübung schweigepflichtiger Personen. Mit dieser Änderung 
sollen die Möglichkeiten für Berufsgeheimnisträger erweitert werden, sich 
im Rahmen ihrer beruflichen oder dienstlichen Tätigkeit ohne (straf-)recht- 
liches Risiko der Mitwirkung dritter Personen zu bedienen. 


Personenbezogene, anonyme und pseudonyme Daten 


Die Verarbeitung von personenbezogenen Daten ist die Voraussetzung dafür, 
dass Datenschutzrecht anwendbar ist. Sind Daten nicht personenbezogen, 
greift Datenschutzrecht weder nach bisherigem noch nach zukünftigem 
Recht. Dementsprechend wichtig und umstritten ist der Begriff der personen- 
bezogenen Daten. 
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II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


Art. 4Nr.ıDSGVO definiert personenbezogene Daten als „alle Informationen, 
die sich auf eine identifizierte oder identifizierbare natürliche Person bezie- 
hen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder 
indirekt, ... identifiziert werden kann“. Auch wenn sich der Wortlaut von $ 3 
Abs. ı BDSG a.F. unterscheidet, ist anerkannt, dass das Datenschutzrecht in 
der Datenschutz-Grundverordnung, in der Datenschutz-Richtlinie und im 
Bundesdatenschutzgesetz den gleichen Begriff verwendet. 


Entscheidend ist die Frage, wie eine Person indirekt identifiziert werden 
kann - vor allem, welches Zusatzwissen dritter Personen für diese Feststellung 
zu berücksichtigen ist. Ein absolutes Verständnis des Personenbezugs fordert, 
das gesamte (weltweit) theoretisch verfügbare Zusatzwissen zu berücksichti- 
gen. Diese Forderung wird vor allem damit begründet, dass nicht ausgeschlos- 
sen werden kann, dass auch ursprünglich nicht beteiligte Dritte die Daten 
erhalten und mit den neuesten Techniken zuordnen können. Dagegen fordert 
ein relatives Verständnis des Personenbezugs, nur das Wissen zu berücksich- 
tigen, das der Verantwortliche mit verhältnismäßigem Aufwand mobilisieren 
kann. Die Meinung wird vor allem damit begründet, dass das Datenschutz- 
recht den Verantwortlichen verpflichtet und daher auch nur auf seine Zuord- 
nungsmöglichkeiten abstellen kann. Danach kann der Personenbezug relativ 
und von Verantwortlichen zu Verantwortlichem unterschiedlich sein. Die 
besseren Argumente sprechen für das relative Verständnis. Der Streit war 
schon immer fruchtlos und dürfte sich seit der Entscheidung des Europäischen 
Gerichtshofs vom 19. Oktober 2016, der das relative Verständnis ausdrücklich 
bestätigt hat, praktisch erledigt haben. 


Wichtigerist es, das Zusatzwissen, das der Verantwortliche nach allgemeinem 
Ermessen wahrscheinlich nutzen wird, für die praktischen Probleme des 
Datenschutzes aus einer Risikoprognose zu bestimmen. Danach sind alle re- 
levanten objektiven Faktoren zu beachten: der zeitliche Aufwand, die finan- 
ziellen Mittel, verfügbare Technologien und technologische Entwicklungen 
sowie das Interesse an der Zuordnung und die Folgen für die betroffene Person. 
Die Prognose muss mindestens die Entwicklungsmöglichkeiten in dem Zeit- 
raum berücksichtigen, für den die Daten verarbeitet werden sollen. Das Zu- 
satzwissen Dritter ist dann relevant, wenn die Dritten die Daten vom Verant- 
wortlichen erhalten (sollen) oder sich beschaffen (können), wenn sie mit dem 
Verantwortlichen in irgendeiner Weise zusammenarbeiten (können), um die 
Person zu identifizieren, oder wenn sie ihr Zusatzwissen auf andere Weise 
dem Verantwortlichen zur Verfügung stellen können oder müssen. Das Zu- 
satzwissen Dritter ist aber nur zu berücksichtigen, soweit „nach allgemeinem 
Ermessen“ im konkreten Fall mit seinem Einsatz zu rechnen ist. Diesist nicht 
der Fall, wenn die Verwendung des Zusatzwissens gesetzlich verboten ist und 
keine Anhaltspunkte für einen Rechtsbruch vorliegen. Ebenso sind gesetzliche 
Zugriffskompetenzen staatlicher Behörden nur zu beachten, wenn es für de- 
ren konkrete Ausnutzung Hinweise gibt. 
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Zusammenfassung 


Anonyme Daten sind Angaben zu einer betroffenen Person, die ihr nicht zu- 
geordnet werden können. Sie sind daher keine personenbezogenen Daten. Sie 
können von Anfang an anonym sein, aber auch aus personenbezogenen Daten 
entstehen, indem sie dadurch anonymisiert werden, dass aus ihnen alle 
potenziellen Zuordnungsmerkmale entfernt werden. 


Anonyme Daten und Anonymisierung werden in keiner Vorschrift der Daten- 
schutz-Grundverordnung genannt, aber in vielen Vorschriften als existent 
unterstellt und in Erwägungsgrund 26 Satz 5 und 6 DSGVO erwähnt. Das aus 
beiden Sätzen erkennbare Verständnis entspricht dem des $ 3 Abs. 6 BDSG a.F. 


$ 27 Abs. 3 BDSG-neu fordert eine Anonymisierung nur von besonderen Kate- 
gorien personenbezogener Daten, sobald dies nach dem Forschungszweck 
möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen 
dem entgegen. Diese Regelung verstößt insofern gegen die Datenschutz-Grund- 
verordnung, als Art. 89 Abs. ı Satz 4 DSGVO die Anonymisierung aller For- 
schungsdaten fordert und die Einschränkung wegen berechtigter Interessen 
der betroffenen Person nicht vorsieht. In beiden Fällen besteht ein Anwen- 
dungsvorrang der Verordnung. 


Die Datenschutz-Grundverordnung gibt keine Verfahren zur Anonymisierung 
vor. Vielmehr muss der Datenverarbeiter im Ergebnis die in Art. 4Nr. ıDSGVO 
niedergelegten Kriterien erfüllen, die eine Einordnung der Daten als perso- 
nenbezogen ausschließen. 


Pseudonymisierung wird - im Gegensatz zur Anonymisierung - in Art. 4Nr. 5 
DSGVO definiert. Die Bedeutung der Pseudonymisierung wird in der Daten- 
schutz-Grundverordnung gegenüber dem bisherigen Datenschutzrecht deut- 
lich erhöht. Dennoch ist der Begriff in Art. 4 Nr. 5 DSGVO mit dem in $ 3 
Abs. 6a BDSG a.F. identisch. Im Unterschied zur Anonymisierung gibt es bei 
der Pseudonymisierung eine Stelle, die eine Re-Identifizierung vornehmen 
kann. Daher ist zwischen dem Kenner der Zuordnungsregel und allen ande- 
ren, die die Zuordnungsregel nicht kennen, zu unterscheiden. 


Von der Rechtsfolge her können in beiden Vorschriften zwei Arten von pseu- 
donymen Daten unterschieden werden, jenachdem, ob sie die Zuordnung zu 
einer bestimmten Person für alle, die dieZuordnungsregel nicht kennen, aus- 
schließen oder nur erschweren. Im ersten Fall, sind pseudonyme Daten keine 
personenbezogenen Daten, im zweiten Fall bleiben sie es. Nicht personenbe- 
zogen sind pseudonyme Daten nach dem Urteil des Europäischen Gerichtshofs 
vom 19. Oktober 2016, wenn die Identifizierung der betroffenen Person gesetz- 
lich verboten ist oder wenn die Identifizierung „praktisch nicht durchführbar“ 
ist, „z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und 
Arbeitskräften“ erfordert, sodass das Risiko einer Identifizierung de facto ver- 
nachlässigbar“ ist. Fürden Kenner der Zuordnungsregel sind die Daten immer 
personenbezogen. 
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Die Datenschutz-Grundverordnung gibt keine spezifischen Verfahren zur 
Pseudonymisierung vor. Sie erkennt jedoch die verwendeten Verfahren nur 
dann als Pseudonymisierung nach Art. 4 Nr. 5 DSGVO an, wenn sie zwei Vor- 
aussetzungen erfüllen. Sie müssen erstens die Daten so verarbeiten, dass sie 
„ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifi- 
schen betroffenen Person zugeordnet werden können“. Zweitens müssen die 
„zusätzlichen Informationen gesondert aufbewahrt werden und technischen 
und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die 
personenbezogenen Daten nicht einer identifizierten oder identifizierbaren 
natürlichen Person zugewiesen werden“. 


Eine wirksame Anonymisierung von Daten kann nicht als Umsetzung der 
Löschpflicht oder des Löschanspruchs nach Art. 17 Abs. ı DSGVO angesehen 
werden, da beide unterschiedliche Wirkungen haben. Löschpflicht oder Lösch- 
anspruch entfallen jedoch nach Art. 17 Abs. 3 DSGVO. Im Fall der Forschung 
im öffentlichen Interesse besteht keine Löschpflicht und kein Löschanspruch, 
soweit voraussichtlich die Verwirklichung der Ziele der Datenverarbeitung 
unmöglich gemacht oder ernsthaft beeinträchtigt wird. Soweit die Ausnahme 
des Art. 17 Abs. 3 lit. d DSGVO greift, kann es sein, dass die Löschpflicht oder 
der Löschanspruch entfallen und an ihre Stelle eine Pflicht und ein Anspruch 
treten, die Daten zu anonymisieren. Weiterhin ist zu beachten, dass weder 
die Datenschutz-Grundverordnung noch Art. 17 Abs. ı DSGVO für anonyme 
Daten gelten. Wenn die Daten anonymisiert sind, bevor der Löschanspruch 
oder die Löschpflicht entstehen, kommt die Datenschutz-Grundverordnung 
nicht zur Anwendung und es besteht weder eine Löschpflicht noch ein Lösch- 
anspruch, 


Regelungen für wissenschaftliche Forschung 


Die sprachliche Änderung von der Datenschutzrichtlinie zur Datenschutz- 
Grundverordnung hin zu „wissenschaftlichen Forschungszwecken“ führt 
letztlich nicht zu einer Veränderung des rechtlichen Status quo. Vor dem Hin- 
tergrund der zunehmenden Verfügbarkeit von Big Data-Analysen ist die mit 
der Datenschutz-Grundverordnung vorgenommene Präzisierung dennoch 
grundsätzlich zu begrüßen. Ob sie tatsächlich tauglicher ist, einer unzulässi- 
gen Ausweitung des Wissenschaftsbegriffs die Grundlage zu entziehen und 
eine ungewollte Privilegierung von Big Data zu verhindern als die Vorgänger- 
formulierung der Datenschutzrichtlinie, bleibt aber fragwürdig. Aus einer 
streng dogmatischen und verfassungsrechtlichen Sicht, ist Forschung ohne- 
hin nur der Teil der Wissenschaft, der nicht Lehre und akademische Freiheit 
ist. Die „wissenschaftliche Forschung“ wäre damit eine Tautologie und die 
Begrenzung auf „wissenschaftliche Forschungszwecke“ würde letztlich ledig- 
lich „wissenschaftliche Lehrzwecke“ ausschließen. Dies ist jedoch erkennbar 
nicht die Zielsetzung der Anpassung der Formulierung beim Wechsel von der 
Datenschutzrichtlinie zur Datenschutz-Grundverordnung. Immerhin leistet 
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die Formulierung „wissenschaftliche Forschungszwecke“ eine deklaratorische 
Klarstellung, dass nicht die bloße Anwendung wissenschaftlicher Methoden 
eine Privilegierung rechtfertigen kann; Forschung muss Primärziel der Ver- 
arbeitung personenbezogener Daten sein. Dies war indes aber bereits für die 
Vorgängerformulierung anerkannt. Die von Schneider: formulierten Krite- 
rien behalten im Wesentlichen auch mit der Datenschutz-Grundverordnung 
ihre Gültigkeit. Eine Pflicht oder Absicht zur Veröffentlichung ist jedoch nicht 
zu fordern. 


Bezogen auf $ 27 BDSG-neu ist festzuhalten, dass sich der Gesetzgeber um eine 
Übernahme bestehender Regelungen aus dem alten Bundesdatenschutzgesetz 
bemüht hat. s 27 Abs. 3 BDSG-neu, der $ 40 Abs. 2 und 3 BDSG a.F. überträgt, 
ist dabei jedoch insoweit unionsrechtswidrig, als er die Anforderung der An- 
onymisierung auf besondere Kategorien personenbezogener Daten beschränkt, 
statt sie wie Art. 89 Abs. ı Satz 4 DSGVO auf alle Forschungsdaten zu erstre- 
cken. 


Abzuwarten bleibt die Anpassung der Landesdatenschutzgesetze und von Spe- 
zialgesetzen wie den Landeskrankenhausgesetzen an die Verordnung. 


Ausschluss der Auskunftserteilung zum Wohl der betroffenen Person 


Das Recht auf Auskunft in Art. 15 DSGVO istim Wesentlichen deckungsgleich 
mit seinem Vorgänger aus der Datenschutzrichtlinie und seiner Umsetzung 
im Bundesdatenschutzgesetz. Es bildet die Basis für die Überprüfung der 
Rechtmäßigkeit der Verarbeitung durch den Betroffenen. Beschränkungen 
des Auskunftsrechts sind deshalb in besonderem Maße begründungsbedürf- 
tig. Beschränkungsmöglichkeiten für das Recht auf Auskunft enthält etwa 
$ 27 Abs. 2 BDSG-neu. 


Ein Ausschluss der Auskunftserteilung zum Wohl der betroffenen Person ist 
nach $ 630g BGB möglich. Diese Vorschrift ist mit Art. 23 Abs. ı lit. i DSGVO 
kompatibel. Dem Ausschluss sind dabei hohe Hürden gesetzt. 


Auch im Kontext von wissenschaftlichen Forschungsvorhaben ist eine ähn- 
liche Einschränkung - als Ultima Ratio ausgestaltet - grundsätzlich möglich. 
Diese müsste aber auf einer konkreten Rechtsvorschrift beruhen. Eine solche 
Rechtsvorschrift existiert derzeit nicht, könnte aber geschaffen werden. Die 
Beschränkung muss aber auf Art. 23 Abs. ı DSGVO gestützt werden und kann 
nicht an der Bevorzugung der wissenschaftlichen Forschung durch die Grund- 
verordnung teilhaben. Unabhängig davon kann das Auskunftsrecht aber auch 
im Kontext wissenschaftlicher Forschung durch Individualvereinbarung aus- 
geschlossen werden. 


1 U.K. Schneider, Sekundärnutzung klinischer Daten - Rechtliche Rahmenbedingungen, TMF-Reihe, Band 12, 
Seite 97/98 
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Weitergabe von Informationen an „mitwirkende Personen“ im Rahmen der 
medizinischen Forschung 


Strafbar macht sich nach $ 203 StGB, wer unbefugt ein fremdes Geheimnis 
offenbart, das ihm als Berufsgeheimnisträger im Sinne von Abs. ı und 2 an- 
vertraut worden oder sonst bekannt geworden ist. Diezunehmende Nutzung 
von Informationstechnik macht es häufig aber erforderlich, externe Fachkräf- 
te hinzuzuziehen, die außerhalb der Sphäre des Berufsgeheimnisträgers ste- 
hen, beispielsweise zur Wartung der eingesetzten Technik. Dabei können 
diesen Personen jedoch fremde Geheimnisse offenbart werden. Zudem wird 
zunehmend die eigene Informationstechnik durch externe Technik ergänzt, 
beispielsweise in Form des Cloud Computing. Aufgrund zahlreicher Meinungs- 
verschiedenheiten in der strafrechtlichen Fachliteratur zu $ 203 StGB und feh- 
lender obergerichtlicher Rechtsprechung zum Thema Outsourcing bestand 
hier eine große Rechtsunsicherheit. Die Änderung des $ 203 StGB schafft nun 
ein deutliches Mehr an Rechtsklarheit. 


Der Begriff der „mitwirkenden Person“ wird mit der Novelle des 5 203 StGB neu 
in das Strafgesetzbuch eingeführt. Er ist ein Überbegriff und umfasst einer- 
seits den berufsmäßig tätigen Gehilfen und die beim Berufsgeheimnisträger 
zur Vorbereitung auf den Beruf tätigen Personen und andererseits die sonsti- 
gen mitwirkenden Personen. Wesentliches Unterscheidungsmerkmal zwi- 
schen dem Gehilfen und der sonstigen mitwirkenden Person ist dabei die feh- 
lende Teilhabe an der Sphäre des Berufsgeheimnisträgers. 


Die Forschungstätigkeit des Arztes ist als berufliche Tätigkeit im Sinne von 
$ 203 StGB zu werten. Entscheidend ist dabei, dass der Arzt „als Arzt“ forscht. 
Unterschiede zwischen der ärztlichen Tätigkeit in einem Universitätskranken- 
haus, einem sonstigen Krankenhaus und einer Arztpraxis bestehen im Ergeb- 
nis nicht. In allen Fällen ist die Forschungstätigkeit des Arztes seiner beruf- 
lichen Tätigkeit zuzurechnen und deshalb tatbestandlich im Sinn von $ 203 
StGB. Nicht als Teil der beruflichen Tätigkeit kann lediglich Forschung gelten, 
die eine andersartige Nebentätigkeit darstellt. Davon dürfte nur auszugehen 
sein, wenn der Arzt nicht im medizinischen Kontext forscht. Damit ist die 
Mitwirkung an der Forschungstätigkeit eines Arztes eine Mitwirkungshand- 
lung im Sinn von $ 203 StGB. Die mitwirkende Person unterliegt dabei selbst 
der Strafbarkeit nach $ 203 StGB. 
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Das Gutachten soll Rechtsfragen zur Nutzung von Sozial- und Gesundheits- 
daten beantworten, die für das Forschungsprojekt „Smart Analysis - Health 
Research Access“ (SAHRA) von Bedeutung sind. Das Projekt SAHRA wird vom 
Bundesministerium für Wirtschaft und Energie gefördert. Hauptziel des SAH- 
RA-Projekts ist es, Sozialdaten der AOK Nordost über eine hochsichere web-ba- 
sierte Datenplattform (SAHRA-Plattform) mit weiteren Datenquellen des Ge- 
sundheitswesens zu verbinden. Die Datenplattform soll datenschutzkonforme 
Möglichkeiten bieten, Abrechnungs-, Behandlungs-, Struktur- sowie Regis- 
ter- und Studiendaten aus verschiedenen Quellen zu kombinieren, zu referen- 
zieren und zu validieren. Die potenziellen Nutzer der SAHRA-Plattform sollen 
aus der Wissenschaft, der Versorgung und der Industrie stammen. 


Durch die grundlegende Änderung des Rechtsrahmens durch die Daten- 
schutz-Grundverordnung der Europäischen Union und die Anpassung meh- 
rerer deutscher Datenschutzregelungen an die neue Rechtslage stellen sich 
viele grundsätzliche datenschutzrechtliche Fragestellungen in einem neuen 
Licht. Vor diesem Hintergrund soll in dem Gutachten untersucht werden, wie 
die folgenden Fragen? nach der zukünftigen Rechtslage, die ab dem 25. Mai 
2018 gelten wird, zu beurteilen sind: 


2 Der vollständige Fragenkatalog findet sich im Anhang. 
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Unterstützt die Datenschutz-Grundverordnung eher das Konzept eines 
„absoluten“ oder eines „relativen Personenbezugs“? 

Wird der Begriff der Pseudonymisierung in der Datenschutzgrundver- 
ordnung in einer anderen Weise verstanden als in den Vorschriften des 
Bundesdatenschutzgesetzes und welche Unterschiede folgen daraus, 
insbesondere für den Prozess der Pseudonymisierung? Welche Bedeu- 
tung hat in Bezug auf die bisherige Rechtslage bei der Nutzung pseudo- 
nymer Daten das Urteil des Europäischen Gerichtshofs vom 19.10.2016, 
C - 582/14 (Breyer)? 

Wird der Begriff des Anonymisierens in Erwägungsgrund 26 der Daten- 
schutz-Grundverordnung in einer anderen Weise verstanden als in der 
bisherigen Definition des Bundesdatenschutzgesetzes und welche Unter- 
schiede folgen daraus bei der Nutzung anonymer Daten für die wissen- 
schaftliche Forschung? 

Kann eine wirksame Anonymisierung von Daten als Umsetzung der 
Löschpflicht nach Art. 17 Abs. 1 DSGVO angesehen werden? Ist es für eine 
wirksame Anonymisierung ausreichend, wenn die Löschung im Rah- 
men einer Einwilligung vereinbart wurde? 

Führt der Begriff der „wissenschaftlichen Forschungszwecke“, wie erin 
Erwägungsgrund 159 DSGVO verwendet wird, zu einer anderen Interpre- 
tation des Begriffs „wissenschaftliche Forschung“, als dies bisher der 
Fall war? Wie verhält sich der neue Rechtsbegriff zu der Rechtsauffas- 
sung von Schneider in der TMF-Veröffentlichung von U.K. Schneider, 
Sekundärnutzung klinischer Daten - Rechtliche Rahmenbedingungen, 
Band 12, Seite 97/98? 

Der Bundesrat hat in seinem Beschluss vom 10. März 2017 zum Entwurf 
der Bundesregierung zu einem Gesetz zur Anpassung des Datenschutz- 
rechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtli- 
nie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz 
EU - DSAnpUC-EU): die Frage aufgeworfen, inwieweit ein Ausschluss 
der Auskunftserteilung neben den in s 27 BDSG-E genannten Vorausset- 
zungen nach objektiven Kriterien auch aus therapeutischen sowie ethi- 
schen Erwägungsgründen zum Wohl der betroffenen Person möglich 
sein sollte. Auf welcher verfassungs- und europarechtlichen Grundlage 
können solche Ausnahmen von den Auskunftsrechten für wissenschaft- 
liche Forschungsvorhaben vorgenommen werden? 

$ 203 StGB wurde durch das vom Bundestag am 29. Juni 2017 beschlosse- 
ne Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mit- 
wirkung Dritter an der Berufsausübung schweigepflichtiger Personen 
in der Form geändert, dass die Weitergabe von Informationen an „mit- 
wirkende Personen“ für einen Berufsgeheimnisträger (z.B. Arzt) straf- 
los sein soll, wenn diese an der „beruflichen Tätigkeit“ des Berufsge- 


3  BT-Drs. 18/11655, 25, Ziff. 27 lit. d. 
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heimnisträgers mitwirken. Kann eine Mitwirkung an einer Forschungs- 
tätigkeit eines Arztes auch als Mitwirkungshandlung im Sinn der neu- 
en Rechtsvorschrift verstanden werden? Wie wird die „berufliche 
Tätigkeit“ eines Arztes in der Datenschutz-Grundverordnung im Ver- 
gleich zum bisherigen Rechtsrahmen definiert? Gibt es Unterschiede 
zwischen der ärztlichen Tätigkeit in einem Universitätskrankenhaus, 
in einem sonstigen Krankenhaus und einer Arztpraxis. 


Für alle Fragen soll auch geprüft werden, ob die einschlägigen deutschen Um- 
setzungsgesetze die Vorgaben aus dem europäischen Primärrecht, dem deut- 
schen Verfassungsrecht und aus der Datenschutz-Grundverordnung ein- 
halten. 
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2 Der neue Rechtsrahmen 


Die Datenschutz-Grundverordnung vom 27. April 2016 wird ab dem 25. Mai 
2018 in allen Mitgliedstaaten unmittelbar gelten und in diesen das Daten- 
schutzrecht auf eine neue Grundlage stellen. Die Datenschutz-Grundverord- 
nung wird dann Teil der jeweiligen nationalen Rechtsordnung sein, ohne 
diese aber formell zu verändern. 


2.1 Datenschutz-Grundverordnung 


Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 
27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen- 
bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtli- 
nie 95/46/EG (Datenschutz-Grundverordnung)* gilt vom 25. Mai 2018 an mit 
all ihren Regelungen in allen Mitgliedstaaten unmittelbar. Sie bestimmt vor- 
rangig das künftige Datenschutzrecht in Europa. Dieses wird aber nicht allein 
durch die Union geprägt. Vielmehr wird sie in vielen Bereichen und Aspekten 
ergänzt durch Datenschutzregelungen der Mitgliedstaaten. Dadurch entsteht 
im Datenschutz eine Ko-Regulierung durch Union und Mitgliedstaaten. Erst 
das komplizierte Zusammenwirken von Unionsrecht und Recht der Mitglied- 


4 EUABI.L119 vom 4.5.2016, 1. 
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staaten bewirkt das zukünftige Europäische Datenschutzrecht. Dies wider- 
spricht zwar vielen Erwartungen und Wünschen nach einem einfachen und 
einheitlichen Datenschutzrecht in der Union, ist aber - nüchtern betrachtet - 
das Ergebnis des politischen Prozesses, der die Datenschutz-Grundverordnung 
hervorgebracht hat.’ 


Die Verordnung verfolgt drei Zielsetzungen:® Zum einen will sie den Daten- 
schutz angesichts der Herausforderungen der technischen Entwicklung mo- 
dernisieren und den Schutz der Grundrechte verbessern.° Zum anderen will 
sie das Datenschutzrecht unionsweit harmonisieren und einen soliden, „ko- 
härenten und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes 
in der Union“ schaffen. Schließlich will sie einheitliche Vorgaben für gleiche 
wirtschaftliche Bedingungen in der Union bieten und damit den Binnenmarkt 
stärken." 


Die Datenschutz-Grundverordnung regelt das von ihr erfasste Datenschutz- 
recht in elf Kapiteln mit 99 Artikeln. Kapitel I enthält in den Art. ı bis 4 all- 
gemeine Bestimmungen, Kapitel II nennt in Art. 5 bis 10 die allgemeinen 
Grundsätze des Datenschutzrechts, Kapitel III regelt in den Art. 11 bis 23 die 
Rechte der betroffenen Person, Kapitel IV bestimmt in Art. 24 bis 43 die Pflich- 
ten des Verantwortlichen und des Auftragsverarbeiters und Kapitel V be- 
schreibt in Art. 44 bis 50 die Vorgaben zur Übermittlung personenbezogener 
Daten in Drittländer oder an internationale Organisationen. Nimmt man zu 
diesen Vorschriften noch die Regelung zur Haftung der Datenverarbeiter in 
Art. 82 hinzu, so regelt die Datenschutz-Grundverordnung das materielle 
Datenschutzrecht in nur 51 Artikeln. Die verbleibenden 48 Artikel beantworten 
überwiegend organisatorische Fragen der Datenschutzaufsicht und der Rege- 
lungskompetenzen und betreffen weitere formelle Themen. In Kapitel VI re- 
gelt die Verordnung in den Art. 51 bis 59 die Aufgaben und Befugnisse der un- 
abhängigen Aufsichtsbehörden, in Kapitel VII enthält sie in Art. 60 bis 76 Vor- 
gaben zur Zusammenarbeit und zur Kohärenz der Entscheidungen der Auf- 
sichtsbehörden und in Kapitel VIII regelt sie in Art. 77 bis 84 Rechtsbehelfe und 
Sanktionen. Kapitel IX enthält in Art. 85 bis 91 Vorschriften für besondere 
Datenverarbeitungssituationen, Kapitel X gibt in Art. 92 und 93 Vorgaben für 
delegierte Rechtsakte und Durchführungsrechtsakte und Kapitel XI enthält 
in Art. 94 bis 99 Schlussbestimmungen. 


5 S. näher Roßnagel, in: ders. 2018, $ 1 Rn. 1ff. 

6 Insbesondere von am Entstehungsprozess Beteiligten - s. z.B. Selmayr/Ehmann, in: Ehmann/Selmayr 2017, 
Einleitung Rn. 3; Albrecht, CR 2016, 97ff. 

7 5. zu diesem ausführlich Roßnagel, in: ders. 2018, $ 1 Rn. 15ff. 

8 Diese werden weitgehend verfehlt - s. Roßnagel, in: ders. 2017, § 1 Rn. 27ff. 

9 S. hierzu Erwägungsgrund 1, 2, 3a und 5 DSGVO. 

10 S. hierzu Erwägungsgrund 3 und 6 DSGVO. 

11 S. Erwägungsgrund 4 und 8 DSGVO. 
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Die neue Verordnung orientiert sich in weiten Teilen weiterhin an den alten 
Zielen und Grundsätzen der Datenschutzrichtlinie 95/46/EG® von 1995.3 Sie 
übernimmt unter anderem in Art. 2 und 3 DSGVO weitgehend die Regelungen 
zum sachlichen und räumlichen Anwendungsbereich, in Art. 5 DSGVO nahe- 
zu unverändert die Grundsätze der Datenverarbeitung, in Art. 6Abs. ıDSGVO 
wörtlich die Voraussetzungen für die Zulässigkeit der Datenverarbeitung und 
in Art. 9 DSGVO grundsätzlich die Regelungen zu besonderen Kategorien per- 
sonenbezogener Daten. Hinsichtlich der Rechte der betroffenen Person orien- 
tiert sie sich in den Art. 12 bis 23 DSGVO ebenfalls stark an der Richtlinie. In 
Art. 26 und 27 DSGVO greift die Verordnung grundsätzlich auf die Vorgaben 
der Richtlinie zur Auftragsverarbeitung zurück. In Art. 32 DSGVO übernimmt 
sie weitgehend die Anforderungen an die Datensicherheit, in Art. 44 bis 50 
DSGVO konzeptionell die Grundsätze zur Datenübermittlung in Drittländer 
und in Art. 51 bis 59 DSGVO die Konzeption der Stellung und Aufgaben der 
Aufsichtsbehörden. Diese Regelungen werden in der Verordnung präzisiert, 
neugestaltet oder erweitert, aber konzeptionell nicht weiterentwickelt. 


Innovativ ist dagegen in Art. 3 Abs. 2 DSGVO die Ausweitung des räumlichen 
Anwendungsbereichs durch das Marktortprinzip. Danach ist die Verordnung 
auch anwendbar, wenn ein Datenverarbeiter personenbezogene Daten von 
Personen verarbeitet, die sich in der Union aufhalten. Dies gilt allerdings nur, 
wenn der Verarbeiter entweder der betroffenen Person Waren oder Dienstleis- 
tungen anbietet oder die Datenverarbeitung der Beobachtung ihres Verhaltens 
in der Europäischen Union dient. “Bisher unbekannt ist das Recht für betrof- 
fene Personen in Art. 20 DSGVO, ihre Daten, die sie einem Verantwortlichen 
bereitgestellt haben, auf einen anderen Datenverarbeiter zu übertragen. In- 
novativ sind auch die Anforderungen an den Datenschutz durch Systemgestal- 
tung und Voreinstellungen in Art. 25 DSGVO und die Datenschutz-Folgenab- 
schätzung in Art. 35 DSGVO. Die engere Zusammenarbeit der Aufsichtsbehör- 
den in der Union erforderte in Art. 60 bis 76 DSGVO eigene Regelungen zu 
deren Durchführung. Eine auffällige Veränderung bringt auch Art. 83 DSCVO, 
der für Verstöße gegen Vorgaben der Verordnung drastische Sanktionen er- 
möglicht. Nach Art. 83 Abs. 5 DSGVO können bei den dort aufgelisteten Ver- 
stößen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens 
von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des voran- 
gegangenen Geschäftsjahrs verhängt werden, jenachdem, welcher der Beträ- 
ge höher ist.’ 


12 EG ABI. L 281 vom 23.11.1995, 31. 

13 S. Erwägungsgrund 9 DSGVO. 

14 Diese Erweiterung sorgt auf dem europäischen Markt für Wettbewerbsgleichheit zwischen Anbietern in der 
Union und Anbietern außerhalb der Union und vereinfacht die Wahrnehmung von Betroffenenrechten. 

15 S.z.B. BfDI 2016, 18ff. 
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2.2 Das neue Bundesdatenschutzgesetz 


Nationales Datenschutzrecht kann neben der Datenschutz-Grundverordnung 
mindestens aus drei Gründen anwendbar sein. Es kann erstens eine explizite 
oder implizite Öffnungsklausel der Datenschutz-Grundverordnung ausfüllen, 
die den Mitgliedstaaten einen Spielraum einräumt, Regelungen, die die Ver- 
ordnung nicht enthält, weiterhin anzuwenden oder neu zu erlassen. Es kann 
weiterhin abstrakte Vorgaben der Datenschutz-Grundverordnung präzisieren 
und damit Handlungs- und Bewertungsmaßstäbe bieten, die der Verordnung 
fehlen, sofern sie nicht Entscheidungen der Verordnung widersprechen. 
Schließlich kann das nationale Datenschutzrecht Vorgaben der Verordnung 
konkretisieren, die eine unfertige Regelung im Text der Verordnung erst an- 
wendbar machen. Dies ist meist dann der Fall, wenn ursprünglich eine Kon- 
kretisierung der Verordnung durch delegierte Rechtsakte oder Durchführungs- 
rechtsakte der Kommission vorgesehen waren, diese Konkretisierungsmög- 
lichkeiten aber entfallen sind." 


Die in der Verordnung gegebenen Möglichkeiten hat der deutsche Gesetzgeber 
inzwischen genutzt und noch in der 18. Legislaturperiode des Deutschen Bun- 
destags ergänzend zur Datenschutz-Grundverordnung mehrere neue Daten- 
schutzgesetze erlassen oder bestehende Gesetze angepasst, darunter ein neu- 
es Bundesdatenschutzgesetz und eine Neufassung des Sozialdatenschutzes im 
Sozialgesetzbuch I und X. 


In Art. ı des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 
(EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-An- 
passungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) vom 30. Juni 2017” ist das 
neue Bundesdatenschutzgesetz enthalten. Dieses tritt mit am 25. Mai 2018 - zu- 
sammen mit dem Geltungsbeginn der Datenschutz-Grundverordnung in 
Deutschland - in Kraft und wird das bisherige Bundesdatenschutzgesetz zu die- 
sem Zeitpunkt vollständig ersetzen. Art. 2 bis 6 DSAnpUG-EU enthalten Anpas- 
sungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Ge- 
setzes, des Sicherheitsüberprüfungsgesetzes und des Artikel-10-Gesetzes. 


Das neue Bundesdatenschutzgesetz regelt nur im zweiten Teil in ss 22 bis 44 
allein die Anpassung des allgemeinen Bundesdatenschutzrechts an die Daten- 
schutz-Grundverordnung. Er enthält Vorgaben für besondere Verarbeitungs- 
situationen, für zulässige Zweckänderungen und für Einschränkungen der 
Rechte der betroffenen Personen. Im dritten Teil finden sich in ss 45 bis 84 
spezifische Bestimmungen zur Umsetzung der Richtlinie (EU) 2016/680 zum 
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten 
durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, 
Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie 


16 S. hierzu Roßnagel, in: ders. 2018, $ 2 Rn. 15ff. 
17 BGBl. |, 2097. 
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zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/ 
JI des Rates (JI-Richtlinie).“ Der ersten Teil schließlich enthält in ss ı bis 21 
Regelungen, die sowohl für die Anpassung an die Verordnung als auch der 
Umsetzung der JI-Richtlinie gelten. Sie betreffen u.a. allgemeine Erlaubnis- 
tatbestände sowie die Stellung und die Aufgaben der Bundesbeauftragten für 
den Datenschutz und die Informationsfreiheit. 


Mit dem neuen Bundesdatenschutzgesetz hat der deutsche Gesetzgeber die 
Öffnungsklauseln der Verordnung - insbesondere in Art. 6, 9, 22 und 23 
DSGVO - ausgenutzt und darüber hinaus auch ohne Öffnungsklausel die Re- 
gelungen in der Verordnung präzisiert, konkretisiert und ergänzt." Er hat 
diese Kompetenzen aber fast ausschließlich dazu benutzt, alte Definitionen 
beizubehalten, Möglichkeiten zur Verarbeitung personenbezogener Daten zu 
erweitern und Rechte der betroffenen Personen zu beschränken. 


2.3 Änderungen des SGB I und X 


Eine Neuregelung des Sozialdatenschutzes erfolgte durch Art. 19 und 24 des 
Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschrif- 
ten vom 24. Juli 2017.” Der Gesetzgeber stützt sie durchgängig - ohne weitere 
Differenzierung - auf die Öffnungsklauseln für den öffentlichen Bereich in 
Art. 6 Abs. 2 und 3 sowie auf die Öffnungsklausel zur Verarbeitung besonderer 
Kategorien von personenbezogenen Daten in Art. 9 Abs. 2DSGVO.” Neugefasst 
wurden die Regelung des Sozialgeheimnisses in $ 35 SGB I, die Definitionen 
in $ 67 SGB X und die Erlaubnistatbestände in ss 67a ff. SGB X. 


Hinsichtlich des Verhältnisses der Neuregelungen des Sozialdatenschutzes zur 
Datenschutz-Grundverordnung ist die amtliche Begründung widersprüchlich. 
Einerseits geht sie davon aus, dass „die datenschutzrechtlichen Regelungen 
des Sozialdatenschutzes ... das bereichsspezifische Datenschutzrecht abschlie- 
ßend regeln“. Andererseits nimmt sie an, dass die Verordnung unmittelbare 
Geltung habe und künftig unmittelbar neben den Regelungen zum Sozial- 
datenschutz anzuwenden sei.” Die Öffnungsklauseln des Art. 6 Abs. 2 und 3 
DSGVO sollen jedoch gerade dazu dienen, gewachsene hochkomplexe Daten- 
schutzregelungen, wie sie für die Systeme der sozialen Sicherheit bestehen, 
die spezifische Eigenheiten der Mitgliedstaaten betreffen, beibehalten zu kön- 
nen.” Daher kann auch der deutsche Regelungskomplex des Sozialdaten- 
schutzes als ein in sich abgeschlossenes System beibehalten werden. 


18 Richtlinie (EU) 2016/680, EU ABl. 119 vom 4.5.2016, 89. 

19 S. hierzu auch Roßnagel, DuD 2017, 277; Geminn, DuD 2017, 295 (297f.); Johannes/Richter, DuD 2017, 300ff. 
20 S. Greve, NVwZ 2017, 737, Kühling, NIW 2017, 1985; Roßnagel, DuD 2017, 277 (281). 

21 BGBl. |, 2541. 

22 Amtliche Begründung, BT-Drs. 18/12611, 104f., 110ff. 

23 BT-Drs. 18/12611, 105. 

24 S. hierzu Roßnagel, DuD 2017, 290 (291f.). 
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2.4 Änderungen des $ 203 StGB 


Unabhängig von der Datenschutz-Grundverordnung hat das Gesetz zur Neu- 
regelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der 
Berufsausübung schweigepflichtiger Personen vom 30. Oktober 2017% in Art. 1 
das Strafgesetzbuch geändert. Die wichtigste Änderung ist die Aufhebung von 
$ 203 Abs. 2a StGB a.F. und die Ersetzung von $ 203 Abs. 3 StGB a.F. durch $ 203 
Abs. 3 und 4 StGB n.F. Damit zielt der Gesetzgeber darauf ab, „die Möglich- 
keiten für Berufsgeheimnisträger zu erweitern, sich im Rahmen ihrer beruf- 
lichen oder dienstlichen Tätigkeit ohne (straf-)rechtliches Risiko der Mitwir- 
kung dritter Personen zu bedienen“. % 


Ergänzend nimmt das Gesetz Änderungen in der Strafprozessordnung in 
Art. 2, der Bundesrechtsanwaltsordnung in Art. 3, der Bundesnotarordnung 
in Art. 4, der Patentanwaltsordnung in Art. 5, im Steuerberatungsgesetz in 
Art. 8 und in der Wirtschaftsprüferordnung in Art. 9 und in vielen weiteren 
Gesetzen als Folgeänderungen in Art. 10 vor. Diese weiteren Artikel enthalten 
überwiegend Regelungen zur Inanspruchnahme von Dienstleistungen. Die 
teilweise schon satzungsrechtlich bestehende Pflicht für bestimmte Berufs- 
geheimnisträger, ihre Mitarbeiter zur Verschwiegenheit zu verpflichten, wird 
in die entsprechenden Gesetze überführt. 


25 BGBI. |, 3618. 
26 BT-Drs. 18/12940, 1; 18/11936, 17. 
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Sowohl Art. 1 Abs. ı DSGVO und Art. 1 Abs. ı DSRL als auch $ı Abs. ı BDSG in 
der neuen und der alten Fassung wie auch $ 35 SGB I i.V.m. $ 67 Abs. 1 SGB X 
a.F. sowie $ 67 Abs. 2 SGB X n.F. nennen als Regelungsgegenstand des Daten- 
schutzrechts die Verarbeitung von personenbezogenen Daten. Sind die Daten 
nicht personenbezogen, greifen die Datenschutzregeln nicht. 


3.1 Personenbezug 
Kapitel 3.1 beantwortet die Frage 4.1 Satz 4. Diese lautet: 


Von Interesse ist hier, ob die EU-DSGVO eher das Konzept eines „absoluten“ oder eines 
„relativen Personenbezugs“ unterstützt. 


Ohne zu klären, wie sich der Begriff des Personenbezugs bestimmt, lassen 
sich keine sinnvollen Aussagen zu anonymen und pseudonymen Daten tref- 
fen. Die Antwort auf die Frage 4.1 Satz 4 ist daher grundlegend für die Antwor- 
ten zu den Fragen 4.1, 4.3 und 4.4 und wird daher vor der Beantwortung dieser 
Fragen im Folgenden gesondert erarbeitet. 


Aufgrund des Anwendungsvorrangs der Datenschutz-Grundverordnung ist die 
Definition personenbezogener Daten in Art. 4 Nr. ıDSGVO entscheidend: 
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Danach sind personenbezogene Daten 


„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche 
Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine na- 
türliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung 
zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu 
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Aus- 
druck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, 
kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden 
kann“. 


Die Datenschutz-Grundverordnung führt damit weitgehend die Definition 
des Art. 2 lit. a) DSRL fort. Diese lautet: 


„Im Sinne dieser Richtlinie bezeichnet der Ausdruck ‚personenbezogene Daten‘ alle 
Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene 
Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identi- 
fiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu 
einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physio- 
logischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“. 


Der Unterschied besteht nur in der Ersetzung der Worte „bestimmt oder be- 
stimmbar“ durch die Worte „identifiziert oder identifizierbar“ und der Ergän- 
zung der Beispiele um „Namen“, „Standortdaten“ und „Online-Kennung“ 
sowie der Identitäten um die „genetische“ Identität. 


Der Unterschied zwischen „bestimmt oder bestimmbar“ und „identifiziert 
oder identifizierbar“ betrifft nur die jeweils deutschen Übersetzungen des 
englischen „identified or identifiable“. In der englischen Fassung des Art. 2 
lit. a) DSRL und des Art. 4 Nr. ı DSGVO heißt es übereinstimmend „identified 
or identifiable“. In dieser Hinsicht sind also die Datenschutz-Grundverord- 
nung und die Datenschutz-Richtlinie identisch.” In der deutschen Fassung 
wurden diese Worte 1995 mit den Worten „bestimmt oder bestimmbar“ und 
2017 durch die Worte „identifiziert oder identifizierbar“ übersetzt. Die zusätz- 
lichen Beispiele in Art. 4 Nr. ı DSGVO gelten auch für Art. 2 lit. a) DSRL,* 
ebenso wie die „genetische“ Identität auch von Art. 2 lit. a) DSRL erfasst ist. 
Sie werden nun in Art. 4 Nr. ıDSGVO explizit im Verordnungstext genannt. 


Aus alledem ist davon auszugehen, dass die Definitionen in Art. 4 Nr. 1DSGVO 
und Art. 2 lit. a) DSRL in den wesentlichen Merkmalen» inhaltlich identisch 


27 Ebenso Laue/Nink/Kremer 2016, $ 1 Rn. 12; Herbst, NVwZ 2016, 902 (903): nur unwesentliche Abweichungen. 

28 S. z.B. Laue/Nink/Kremer 2016, $ 1 Rn. 14. 

29 Insbesondere wurde nach dem bisher geltenden Datenschutzrecht keine namentliche Identifizierung verlangt - 
s. z.B. Art. 29 Datenschutzgruppe, WP 136, 14; Dammann, in: Simitis, BDSG, $ 3 Rn. 22. 
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sind. Insbesondere hinsichtlich des Merkmals „bestimmt oder bestimmbar“ 
und „identifiziert oder identifizierbar“ stimmen sie überein. Da die gleichlau- 
tenden Definitionen der personenbezogenen Daten in $3 Abs. 1 BDSG a.F. und 
$ 67 Abs. 1 SGB X die Definition in Art. 2 lit. a) DSRL umsetzen, ist ihnen trotz 
eines etwas anderen Wortlauts - unionsrechtskonform - der gleiche Begriff der 
personenbezogenen Daten zu unterlegen wie in Art. 2 lit. a) DSRL. Zwar darf 
das Unionsrecht nicht aus dem Blickwinkel des Rechtsverständnisses eines 
Mitgliedstaats ausgelegt werden. :' Doch können die Auslegungserkenntnisse 
zur Datenschutz-Richtlinie auf die Datenschutz-Grundverordnung übertragen 
werden, die ihre Kontinuität zu dieser Richtlinie ausdrücklich in ihrem Erwä- 
gungsgrund 9 betont. Aber auch Literatur und Rechtsprechung zur Definition 
der personenbezogenen Daten in ș 3 Abs. 1 BDSG a.F. und $ 67 Abs. 1SGBXa.F., 
die die Definition in Art. 2 lit. a) DSRL umsetzen, können trotz eines etwas an- 
deren Wortlauts zum Verständnis des Art. 4 Nr. ı DSGVO herangezogen wer- 
den,” wenn der besondere unionsrechtliche Zusammenhang beachtet wird. 
Dies wird im Folgenden ergänzend zur einschlägigen Literatur und Rechtspre- 
chung zur Datenschutz-Grundverordnung auch geschehen. 


3.1.1 Bedeutung des Personenbezugs 


Das Datenschutzrecht geht davon aus, dass von einer Datenverarbeitung Ri- 
siken für das Grundrecht auf den Datenschutz nach Art. 8 GRCh und für das 
Grundrecht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1i.V.m. 
Art. 1 Abs. 1ı GG nur dann ausgehen können, wenn die Daten mit einer be- 
stimmten Person in Verbindung gebracht werden können.» Daher greift das 
Datenschutzrecht als Gefahrenabwehrrecht erst und nur dann, wenn die zu 
verarbeitenden Daten einen Personenbezug haben und damit auf eine be- 
stimmte Person verweisen.» Aus diesem Grund ist der Personenbezug der zu 
verarbeitenden Daten der zentrale Begriff, derüber die Anwendung des Daten- 
schutzrechts entscheidet. 


Der Personenbezug der Daten ist entscheidend für den sachlichen Anwen- 
dungsbereich der Datenschutz-Grundverordnung, aber auch der anderen ge- 
nannten Datenschutzregelungen. Werden personenbezogene Daten verarbei- 
tet, gilt auch der persönliche und räumliche Anwendungsbereich. Die Vor- 
schriften der Datenschutz-Grundverordnung gelten dann für alle Verantwort- 
lichen und Auftragsverarbeiter. Nach den Legaldefinitionen in Art. 4 Nr. 7 


30 S. auch Laue/Nink/Kremer 2016, $ 1 Rn. 13; Karg, DuD 2015, 520 (521); Brink/Eckhardt, ZD 2015, 205; Klar/ 
Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 2; Klabunde, in: Ehmann/Selmayr, Art. 4 Rn. 6; Ernst, in: Paal/ 
Pauly, Art. 4 Rn. 3; Ziebarth, in: Sydow, Art. 4 Rn. 7; Krügel, ZD 2017, 455 (455f.). 

31 S. genau für diese Frage Hofmann/Johannes, ZD 2017, 221f. m.w.N. 

32 S. z.B. Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 20. 

33 S. hierzu kritisch Roßnagel/Scholz, MMR 2000, 721 (727f.); Roßnagel 2007, 185ff. 

34 Zur Notwendigkeit, die Gefahrenabwehr um eine Risikovorsorge zu ergänzen s. z.B. Roßnagel/Geminn/Jandt/ 
Richter 2016, 125f., 137. 
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und 8 DSGVO sind dann alle natürlichen oder juristischen Personen, die per- 
sonenbezogene Daten allein oder im Auftrag verarbeiten, Adressaten der 
Datenschutzregelungen. Es wird nach Art. 3 DSGVO jede Datenverarbeitung 
von den Datenschutzregelungen erfasst, die im Rahmen der Tätigkeiten einer 
Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der 
Union erfolgt oder die in Zusammenhang damit steht, betroffenen Personen 
in der Union Waren oder Dienstleistungen anzubieten oder ihr Verhalten in 
der Union zu beobachten. 


Nur wenn personenbezogene Daten verarbeitet werden, gelten die daten- 
schutzrechtlichen Grundsätze der Datenverarbeitung nach Art. 5 DSGVO. Nur 
bei Personenbezug der Daten ist eine Legitimation für die Verarbeitung der 
Daten erforderlich, die entweder in einer Einwilligung der betroffenen Person 
oder in einer gesetzlichen Erlaubnis zur Datenverarbeitung liegen kann. Nur 
wenn ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene 
Daten verarbeitet, gelten für sie die spezifischen datenschutzrechtlichen 
Pflichten. Nur bei einem Bezug der Daten auf die betroffene Person kann 
diese ihre Rechte und Rechtsbehelfe geltend machen. Nur die Verarbeitungen 
von personenbezogenen Daten unterliegen der Aufsicht durch die zuständige 
Aufsichtsbehörde und begründen deren Aufgaben und Befugnisse.‘ Nur 
wenn personenbezogene Daten verarbeitet werden, kann ein Verstoß gegen 
datenschutzrechtliche Pflichten die drakonischen Sanktionen der Daten- 
schutz-Grundverordnung auslösen. 


Entscheidend dafür, ob alle diese Rechte und Pflichten, Aufgaben und Befug- 
nisse gelten, ist der Personenbezug der verarbeiteten Daten. Nur die mitihnen 
verbundenen Risiken begründen die Notwendigkeit, den Verantwortlichen und 
die Auftragsverarbeiter den Regelungen des Datenschutzrechts zu unterwerfen. 


3.1.2 Identifizierung durch Daten 


Nach Art. 4 Nr. 1 DSGVO sind Daten personenbezogen, wenn die Informatio- 
nen, die den Daten entnommen werden können, „sich auf eine identifizierte 
oder identifizierbare natürliche Person“ beziehen. * Von einer Identifikation 
ist auszugehen, wenn diese sich aus den Daten selbst ergibt.» Wann eine 
Person im Sinn des Art. 4 Nr. ı DSGVO „identifiziert“ ist, wird in der Verordnung 
nicht erläutert. Eine natürliche Person ist identifiziert, wenn sie sich von an- 
deren Personen einer Gruppe ohne Weiteres eindeutig unterscheiden lässt. +° 
Wichtig ist, dass feststeht, dass sich die Daten auf diese und nicht auf eine 


35 S. auch Hofmann/Johannes, ZD 2017, 221 (222). 

36 S. z.B. Roßnagel, Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, 41ff. 
37 S. auch Hofmann/Johannes, ZD 2017, 221 (222). 

38 S. z.B. Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 18. 

39 S. z.B. Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 18. 

40 Art. 29-Datenschutzgruppe, WP 136, 14; Buchner, in: Taeger/Gabel, $ 3 Rn. 9. 


146 


3 Personenbezogene Daten 


andere Person beziehen. Die Identifikation kann über eindeutige Merkmale, 
wie den Namen, erfolgen. Sie kann aber auch - ohne dass der Name bekannt 
ist” - allein durch bestimmte Merkmale von allen anderen Personen der rele- 
vanten Gruppe unterschieden und damitindividualisiert werden.* Im Ergeb- 
nis ist eine Person als identifiziert anzusehen, wenn ausreichende Informa- 
tionen (gemeinsam) vorliegen, die zu einer eindeutigen Identifikation not- 
wendig sind.# Wie Erwägungsgrund 26 DSGVO deutlich macht, spielt es kei- 
ne Rolle, durch welche Mittel diese eindeutige Zuordnung erreicht wurde. 
Dies kann auch durch Aussondern erfolgen. * 


Eine natürliche Person ist identifizierbar, wenn sie gemäß Art. 4 Nr. ı DSGVO 
und Art. 2a) DSRL „direkt oder indirekt identifiziert werden kann“. Es genügt 
die Möglichkeit.“ Diese kann sich etwa aus der „Zuordnung zu einer Kennung 
wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer On- 
line-Kennung oder zu einem oder mehreren besonderen Merkmalen“ ergeben. 
Diese besonderen Merkmale können die Identifizierung einer Person ermög- 
lichen, weil sie „Ausdruck ihrer physischen, physiologischen, genetischen, 
psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“. Ob 
der Schluss von den bekannten besonderen Merkmalen auf die Identität der 
Person möglich ist, hängt von dem verfügbaren „Zusatzwissen“ ab, das eine 
Verbindung von den bekannten Daten zu der spezifischen Person herstellen 
kann.“ Eine Person ist somit mit Hilfe der bekannten Daten identifizierbar, 
wenn weitere Kenntnisse verfügbar sind, die einen Schluss von den Daten zu 
einer eindeutig unterscheidbaren Person ermöglichen.” 


Wenn für die Identifizierbarkeit einer bestimmten Person durch ein Datum 
oder mehrere Daten das Zusatzwissen entscheidend ist, das den Schluss von 
den Daten zu der identifizierten Person zulässt, stellt sich die Frage, auf wes- 
sen Zusatzwissen abzustellen ist. Zu dieser Frage gibt es unterschiedliche Ant- 
worten, je nachdem, ob man sie mit Blick auf die Daten, um die es geht, oder 
mit Blick auf den Verantwortlichen, der die Daten verarbeitet, beantwortet. 
In der Literatur wird hierzu ein Meinungsstreit ausgemacht, der dadurch 
bestimmt ist, ob das Konzept eines „absoluten Personenbezugs“ oder das Kon- 
zept eines „relativen Personenbezugs“ verfolgt wird.“ 


41 S. Husemann, in: Roßnagel 2018, $ 3 Rn. 6; Karg, DuD 2015, 520 (523); für die DSRL Art. 29-Datenschutzgruppe, 
WP 136, 14. 

42 S. z.B. EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 22 - Breyer; Art. 29-Datenschutzgruppe, 
WP 136, 14. 

43 S. Tinnefeld, in: Roßnagel 2003, Kap. 4.1 Rn. 20; Karg, ZD 2012, 257. 

44 Erwägungsgrund 26 Satz 3. 

45 Wie diese bestimmt wird, wird im Folgenden in der Auseinandersetzung mit der „absoluten“ und der „relativen“ 
Konzeption der Bestimmung des Personenbezugs ausführlich dargestellt. 

46 Damann, in: Simitis, $ 3 Rn. 26; Roßnagel/Scholz, MMR 2000, 723; Roßnagel, digma 2011, 161. 

47 Art. 29-Datenschutzgruppe, WP 136, 15; s. hierzu auch Gola/Schomerus, $ 3 Rn. 10; Roßnagel/Scholz, MMR 
2000, 723. 

48 Ausführliche Darstellung des Streitstands Bergt, ZD 2015, 365; Haase 2015, 259ff.; Brink/Eckhardt, ZD 2015, 205; 
Herbst, NVwZ 2016, 902. 
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3.1.3 Konzept des „absoluten Personenbezugs“ 


Zum einen wird eine Rechtsaufassung identifiziert, die in unterschiedlicher 
Weise und mit unterschiedlicher Begründung davon ausgeht, dass das absolut 
vorhandene Wissen berücksichtigt werden muss. Nimmt man diese Meinung 
ernst, kommt es auf das gesamte (weltweit) theoretisch verfügbare Zusatz- 
wissen an: Wenn ein Datum von irgendjemandem einer bestimmten Person 
zugeordnet werden kann, ist es personenbezogen. Danach ist der Personen- 
bezug absolut, allein vom Datum her zu bestimmen. Er gilt unabhängig da- 
von, ob der Verantwortliche über das notwendige Zusatzwissen verfügen kann 
oder sicher davon ausgeschlossen ist. 4 


Allein aus dem Wortlaut lässt sich weder bei Art. 4 Nr. 1 DSGVO noch bei Art. 2 
lit. aDSRL oder $ 3 Abs. ı BDSG oder $ 67 Abs. 1 SGB X a.F. oder $ 67 Abs. 2 SGB 
X-neu ein Hinweis auf einen relativen oder einen absoluten Ansatz ableiten. 
Da der Wortlaut der neuen und der bisherigen Fassungen dieser Vorschriften 
in den entscheidenden Punkten identisch ist, können sie gemeinsam er- 
örtert werden und die Rechtsprechung und die Literatur zur Datenschutzricht- 
linie und zum bisherigen Bundesdatenschutzgesetz können auch zur Ausle- 
gung des gleichen Wortlauts in Art. 4 Nr. 1 DSGVO genutzt werden. 


Die Vertreter eines absoluten Personenbezugs beziehen sich bisher auf Erwä- 
gungsgrund 26 der Datenschutzrichtlinie. Dieser lautet: 


„(26) Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder 
bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, 
sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem 
Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden 
könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine 
Anwendung auf Daten, die derart anonymisiert sind, dass die betroffene Person nicht 
mehr identifizierbar ist...“ 


Aus Satz 2, der für die Bestimmbarkeit fordert, nicht nur alle Mittel der ver- 
antwortlichen Stelle zu berücksichtigen, sondern auch die Mittel, die „von 
einem Dritten eingesetzt werden könnten“, schließen sie, dass die Richtlinie 
und mitihr das deutsche Datenschutzrecht es ausreichen lassen, wenn irgend- 
ein Dritter über das erforderliche Zusatzwissen verfügt.” Aus Erwägungs- 
grund 26 DSRL lässt sich jedoch keine Aussage darüber ableiten, ob im Sinn 
der absoluten Sichtweise alle beliebigen Dritten gemeint sind oder im Sinn 


49 S. z.B. Pahlen-Brandt, DuD 2008, 34ff.; Pahlen-Brandt, K & R 2008, 289; Breyer, ZD 2014, 400 (402ff.); Schaar 
2002, Rn. 168ff. vor allem für IP-Adressen; Beschluss des Düsseldorfer Kreises vom 26./27.11.2009 in Bezug auf 
IP-Adressen; nicht eindeutig Weichert, in: Däubler u.a., § 3 Rn. 13, 15; LG Berlin, K&R 2007, 603; VG Wiesbaden, 
MMR 2009, 432; für ein faktisch-absolutes Verständnis Herbst, NVwZ 2016, 902 (905); Bergt, ZD 2015, 365 (369f.). 

50 S. ausführlich Kap. 3.1. 

51 Pahlen-Brandt, DuD 2008, 38. 
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derrelativen Sichtweise nur solche Dritte, auf deren Zusatzwissen die verant- 
wortliche Stelle zurückgreifen kann.» 


Dennoch werden für einen „objektiven Beurteilungsmaßstab“s auch die 
„europäischen Datenschutzbehörden“ herangezogen: Sie sollen im Arbeits- 
papier 136 der Art. 29-Datenschutzgruppe zum Begriff personenbezogene 
Daten im Anschluss an Satz 2 des Erwägungsgrunds 26 DSRL einer absoluten 
Sichtweise folgen. 55 Diese „europäische Betrachtungsweise“ wird einer deut- 
schen Position gegenübergestellt und es wird gefragt, wie lange sich diese 
deutsche Besonderheit: ihr noch entziehen könne. 


3.1.4 Konzept des „relativen Personenbezugs“ 


Die herrschende Meinung geht dagegen davon aus, dass nur das Zusatzwissen, 
das die verantwortliche Stelle hat oder über das sie verfügen kann, entschei- 
dend sein kann. Danach ist der Personenbezug relativ, nämlich jeweils von der 
verantwortlichen Stelle aus zu bestimmen, deren Datenumgang zu beurteilen 
ist. Ist eine Person durch das Zusatzwissen einer verantwortlichen Stelle iden- 
tifizierbar, kann dies bei einer anderen verantwortlichen Stelle, die über we- 
niger Zusatzwissen verfügt, nicht so sein. Das Zusatzwissen und damit auch 
der Personenbezug sind eben vom Verwendungskontext der Daten und dem 
verfügbaren Zusatzwissen einer jeden verantwortlichen Stelle abhängig. 


Für den relativen Begriff des Personenbezugs sprechen vor allem systematische 
und teleologische Gründe, aber auch Überlegungen der Rechtsfolgenbewer- 
tung. © Systematisch und funktional besteht ein enger Bezug des Begriffs „per- 


52 Ebenso Sachs, CR 2010, 549f. 

53 So nennen Stiemerling/Hartung, CR 2012, 63f. das Konzept des „absoluten“ Personenbezugs. 

54 Art. 29-Datenschutzgruppe, WP 136, 14ff. 

55 Stiemerling/Hartung, CR 2012, 63f.; Karg, ZD 2012, 256. 

56 Gemeint ist damit das Konzept des relativen Personenbezugs. Dagegen wird für das Konzept des „absoluten“ 
Personenbezugs beansprucht, dass nur dieses der europäischen Konzeption der Datenschutzrichtlinie entspreche. 

57 Stiemerling/Hartung, CR 2012, 63f. 

58 Für die DSRL und das BDSG a.F. s. aus der Rspr. z.B. EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, 

Rn. 49 - Breyer; BGH, N]W 2017, 2416 Rn. 24ff.; BGH, ZD 2015, 80, Rn. 32; BGH, MMR 2011, 341 (344); OLG Ham- 
burg, MMR 2011, 281ff.; OLG München, ZD 2011, 182; LG Berlin, K&R 2000, 603; LG Berlin, ZD 2013, 618; aus der 
Lit. s. z.B. Dammann, in: Simitis, $ 3 Rn. 32; Gola/Schomerus, $ 3 Rn. 10; Tinnefeld, in: Roßnagel 2003, Kap. 4.1 
Rn. 22; Schaffland/Wiltfang, $ 3 Rn. 17; Bizer/Hornung, in: Roßnagel 2013, $ 12 TMG Rn. 44, Kroschwald 2015, 
58, 69; Roßnagel/Banzhaf/Grimm 2003, 150f.; Nink/Pohle, MMR 2015, 563 (565f.); Schmitz, in: Hoeren/Sieber, 
Kap. 16.2 Rn. 83f.; Roßnagel/Pfitzmann/Garstka 2001, 61; Roßnagel, digma 2011, 160ff.; Roßnagel/Scholz, MMR 
2000, 721f.; Arning/Forgö/Krügel, DuD 2006, 700; Voigt, MMR 2009, 377; Caspar, DÖV 2009, 966; Meyerdierks, 
MMR 2009, 9; Sachs, CR 2010, 548; Eckhardt, CR 2011, 342; Eckhardt, CR 2015, 113 (115); Knopp, DuD 2015, 
527 (528); Brink/Eckhardt, ZD 2015, 205 (207ff.); Krüger/Maucher, MMR 2011, 436; Härting, NIW 2013, 2066; 
Kühling/Klar, N|W 2013, 3611 (3615); Kühling/Klar, ZD 2017, 28; Klar 2012, 144f., Krügel, ZD 2017, 455 (458f.); 
einschränkend Buchner, in: Taeger/Gabel, $ 3 Rn. 13. 

59 S. z.B. Art. 29-Datenschutzgruppe, WP 136, 15; Dammann, in: Simitis, $ 3 Rn. 38; Tinnefeld, in: Roßnagel, 
Kap. 4.1 Rn. 22; Roßnagel/Scholz, MMR 2000, 722f. 

60 Die Argumente in EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779 - Breyer, werden in Kap. 3.1.5 aus- 
führlich zur Bestimmung des Personenbezugs in der DSGVO herangezogen. 
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sonenbezogene Daten“ zum Begriff der „verantwortlichen Stelle“, wie er ge- 
mäß s 3 Abs. 7 BDSG a.F. verwendet wird. $s3 Abs. ı BDSG a.F. bestimmt den 
Anwendungsbereich des Datenschutzrechts und $ 3 Abs. 7 BDSG a.F. den durch 
das Datenschutzrecht Verpflichteten. Das gemäß $ 3 Abs. ıBDSG a.F. anwend- 
bare Datenschutzrecht richtet sich an die gemäß s 3 Abs. 7 BDSG verantwort- 
liche Stelle. Das Datenschutzrecht muss für sie anwendbar sein. Das ist es 
nur, wenn die Daten, die sie erhebt, verarbeitet oder nutzt, für sie personen- 
bezogen sind. 


Auch bei genauer Lektüre des Arbeitspapiers 136 der Art. 29-Datenschutzgrup- 
pe, das Vertreter der absoluten Theorie als Hauptbeweismittelanführen, wird 
deutlich, dass diese Gruppe keinen absoluten, sondern einen relativen Begriff 
der personenbezogenen Daten vertritt. Sie sieht den Personenbezug abhängig 
vom jeweiligen Kontext, in dem die Daten verarbeitet werden, bezieht sich 
immer auf den „für die Verarbeitung Verantwortlichen“® und stellt auf den 
Zweck ab, den dieser verfolgt, sowie auf die Mittel, die er vernünftigerweise 
einsetzen kann. Die in Satz 2 des Erwägungsgrunds 26 DSRL erwähnten „Drit- 
ten“ werden nicht so verstanden, dass es beliebige Dritte sein können, sondern 
Dritte, denen Daten vom Verantwortlichen übermittelt werden, Dritte, die 
selbst zu Verantwortlichen werden (können), oder Dritte, auf deren Zusatz- 
wissen der Verantwortliche zurückgreifen kann. ® Immer aber wird der Bezug 
zu einem Verantwortlichen gewahrt und gefragt, ob „der für die Verarbeitung 
Verantwortliche oder eine andere beteiligte Person“ über die Mittel verfügen, 
den Personenbezug herzustellen.“ Ist dies dem einen Verantwortlichen mög- 
lich, einem anderen jedoch nicht, sind die Daten nur für den ersten personen- 
bezogen. 5s 


Nach Art. 2 lit. a DSRL, $ 3 Abs. ı BDSG a.F. und $ 67 Abs. 1 SGB X a.F. spricht 
also alles für ein relatives Verständnis des Personenbezugs, das auf das Zusatz- 
wissen des Verantwortlichen abstellt, über das er verfügt oder über das er mit 
einem für ihn verhältnismäßigen Aufwand mobilisieren kann.“ Der Perso- 
nenbezug ist danach relativ und kann sich von Verantwortlichem zu Verant- 
wortlichem unterscheiden. 


3.1.5 Personenbezug nach der Datenschutz-Grundverordnung 


Hat sich dieses Verständnis des Personenbezugs durch die Datenschutz-Grund- 
verordnung verändert? Diese Frage wird überwiegend verneint und auch für 


61 Art. 29-Datenschutzgruppe, WP 136, 15, 24. 

62 Art. 29-Datenschutzgruppe, WP 136, 16, 18, 19, 20, 23. 

63 Art. 29-Datenschutzgruppe, WP 136, 18ff. 

64 Art. 29-Datenschutzgruppe, WP 136, 19, 23. 

65 Art. 29-Datenschutzgruppe, WP 136, 23. 

66 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 46 - Breyer; BGH, NJW 2017, 2416 Rn. 24ff.; 


150 


3 Personenbezogene Daten 


die Datenschutz-Grundverordnung ein relativer Personenbezug angenom- 
men. 


3.1.5.1 Wortlaut 


Der Wortlaut des Art. 4 Nr. 1 DSGVO ist hinsichtlich des zu berücksichtigenden 
Zusatzwissens nicht eindeutig.“ Er stellt nur fest, dass eine natürliche Person 
dann als identifizierbar angesehen wird, wenn sie direkt oder indirekt, ins- 
besondere mittels Zuordnung zu einer Kennung identifiziert werden kann. 
Wer diese Zuordnung vornehmen muss oder kann, bestimmt die Definition 
nicht. Sie lässt damit gerade die umstrittenste Frage des Begriffs „personen- 
bezogene Daten“ offen. 


3.1.5.2 Erwägungsgründe 


Die Datenschutz-Grundverordnung erläutert ihr Verständnis der personenbe- 
zogenen Daten nach Art. 4 Nr. 1 in Erwägungsgrund 26 DSGVO wie folgt: 


„Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf 
eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymi- 
sierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher 
Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Infor- 
mationen über eine identifizierbare natürliche Person betrachtet werden. Um festzu- 
stellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt 
werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem 
Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt 
zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel 
nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person 
genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung 
und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeit- 
punkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu 
berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für ano- 
nyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizier- 
te oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die 
in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht 
mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung 
solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“ 


67 S. z.B. Hofmann/Johannes, ZD 2017, 221; Barlag, in: Roßnagel 2017, $ 3 Rn. 9; Husemann, in: Roßnagel 2018, 
6 3 Rn. 7; Roßnagel/Kroschwald, ZD 2014, 495 (496f.); Schantz, NIW 1841 (1843); Schantz, in: Schatz/Wolf 2017, 
Rn. 279ff.; Marnau, DuD 2016, 428, (430); Kartheuser/Gilsdorf, MMR-Aktuell 2016, 382533; Moos/Rothkegel, 
MMR 2016, 845 (847); Laue/Nink/Kremer 2016, $ 1 Rn. 116; Ziebarth, in: Sydow, Art. 4 Rn. 37; Gola, in: ders., 
Art. 4 Rn. 17; Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 26; Krügel, ZD 2017, 455 (458f.); a.A. Buchner, 
DuD 2016, 155 (156); widersprüchlich Albrecht/Jotzo 2017, Teil 3 Rn. 3, die eine „absolute Betrachtung“, aber 
zugleich eine Prüfung des Einzelfalls bei jedem Verantwortlichen fordern. 

68 Ebenso Buchner DuD 2016, 155 (156); Hofmann/Johannes, ZD 2017, 221 (222). 
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Zwar gehören die Erwägungsgründe nicht zum verfügenden Teil der Verord- 
nung und sind daher nicht rechtsverbindlich. ® Jedoch geben sie die Ziele an, 
auf die sich die unterschiedlichen Unionsorgane, die zusammen den Unions- 
gesetzgeber bilden, geeinigt haben und nennen zu jeder Vorschrift die nach 
Art. 296 UAbs. 2 AEUV erforderliche Begründung. Auch wenn sie nicht rechts- 
verbindlich sind, können die Erwägungsgründe wichtige Hinweise zur Aus- 
legung einer Vorschrift bieten. Allerdings können sie keine vom Wortlaut ab- 
weichende Auslegung rechtfertigen.” Der Europäische Gerichtshof nutzt re- 
gelmäßig die Erwägungsgründe zur Auslegung von Vorschriften des Unions- 
rechts.” 


Erwägungsgrund 26 Satz 3 DSGVO könnte im Sinn eines absoluten Personen- 
bezugs verstanden werden, wenn danach „alle Mittel berücksichtigt werden“ 
sollen, „die von dem Verantwortlichen oder einer anderen Person nach allge- 
meinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person 
direkt oder indirekt zu identifizieren“. ” Allerdings stellt dieser Satz nicht auf 
die absolute Möglichkeit einer Identifizierung ab, sondern bezieht sich auf die 
Wahrscheinlichkeit, dass der konkrete Verantwortliche oder eine andere kon- 
krete Person, die über die Daten verfügt, die Mittel nutzen wird. Die Formu- 
lierung „genutzt werden“ ist ganz konkret und stellt auf die relativen Möglich- 
keiten des Verantwortlichen ab. Die Identifizierbarkeit hängt hier erkennbar 
vom gegebenen Kontext ab. Nicht in das Konzept des absoluten Personen- 
bezugs passt es auch, dass die Bestimmung auf den Verantwortlichen abstellt. 
Für dieses Konzept ist es nämlich unerheblich, wer die Identifizierung vor- 
nehmen kann. 


Für die Feststellung der Wahrscheinlichkeit einer Identifizierung sollen nach 
Satz 4 des Erwägungsgrunds 26 DSGVO „alle objektiven Faktoren, wie die Kos- 
ten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezo- 
gen werden“. Auch sollen die „zum Zeitpunkt der Verarbeitung verfügbare 
Technologie und technologische Entwicklungen“ berücksichtigt werden. Die 
Bestimmung der Wahrscheinlichkeit, dass verfügbare Mittel zur Identifizie- 
rung einer natürlichen Person genutzt werden, und die Aufforderung, die 
Kosten und den Aufwand der Identifizierung sowie die verfügbare Technologie 
zu berücksichtigen, sprechen gegen das Konzept eines absoluten Personen- 
bezugs.” Denn diese wären dafür irrelevant. Vielmehr kann die zu bestim- 
mende Wahrscheinlichkeit von Person zu Person unterschiedlich sein.” Dies 
gilt sowohl für das Interesse, die betroffene Person zu identifizieren, als auch 


69 EuGH, Urteil vom 19.11.1998 - C 162/97 - ECLI:EU:C:1998:554, Rn. 54 - Nilsson u.a.; EuGH, Urteil vom 
24.11.2005 - C 316/04 - ECLI:EU:C:2005:716, Rn. 32 - Deutsches Milchkontor. 

70 EuGH, Urteil vom 19.11.1998 - C 162/97 - ECLI:EU:C:1998:554, Rn. 54 - Nilsson u.a. 

71 EuGH, Urteil vom 13.5.2014 - C 131/12 - ECLI:EU:C:2014:317, Rn. 54 - Google Spain und Google. 

72 So z.B. Buchner, DuD 2016, 155 (156). 

73 Husemann, in: Roßnagel 2018, $ 3 Rn. 7. 

74 So im Ergebnis auch Hofmann/Johannes, ZD 2017, 221 (224f.); Kroschwald 2015, 58. 

75 S. auch Hofmann/Johannes, ZD 2017, 221 (224). 


152 


3 Personenbezogene Daten 


für die jeweiligen Mittel zur Identifizierung, über die der Verantwortliche ver- 
fügen kann. Die individuelle Wahrscheinlichkeit der Identifizierung kann 
jedenfalls nicht allgemein danach bestimmt werden, dass irgendwo auf der 
Welt ausreichende Mittel zur Verfügung stehen, um die betroffene Person zu 
identifizieren.” Erwägungsgrund 26 DSGVO spricht daher für ein relatives 
Verständnis des Personenbezugs. 


Eindeutig geht Erwägungsgrund 30 DSGVO von einem relativen Personenbe- 
zug aus. Dieser geht davon aus, dass natürliche Personen nur „unter Umstän- 
den“ Online-Kennungen „wie IP-Adressen und Cookie-Kennungen, die sein 
Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder 
sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet“ werden 
können. Dies ist dann der Fall, wenn die IP-Adressen und Cookie-Kennungen 
„in Kombination mit eindeutigen Kennungen und anderen beim Server ein- 
gehenden Informationen dazu benutzt werden können, um Profile der natür- 
lichen Personen zu erstellen und sie zu identifizieren“. Nach diesem Erwä- 
gungsgrund gibt esalso Verantwortliche, für die diese Daten personenbezogen 
sind, weil sie sie mit eindeutigen Kennungen kombinieren können, und an- 
dere Verantwortliche, für die sie mangels dieses Zusatzwissens nicht perso- 
nenbezogen sind.” 


3.1.5.3 Systematik 


Die Verwendung des Begriffs der personenbezogenen Daten in anderen Vor- 
schriften oder die Nichtanwendung der Datenschutz-Grundverordnung auf 
bestimmte Daten können Rückschlüsse auf das Verständnis des Begriffs per- 
sonenbezogene Daten in Art. 4 Nr. ıDSGVO bieten. 


Anonyme Daten werden von der Datenschutz-Grundverordnung - im Gegen- 
satz zu § 3 Abs. 6a BDSG a.F. und $ 67 Abs. 8 SGB X a.F. - in keiner Vorschrift 
geregelt.” Dies erfolgt nur indirekt in Erwägungsgrund 26 Satz 5 DSGVO, der 
darlegt, dass anonyme Daten von der Verordnung nicht erfasst werden. Dieser 
Ausschluss anonymer Daten aus dem Anwendungsbereich der Verordnung in 
Erwägungsgrund 26 Satz 5 DSGVO stützt den Standpunkt, von einem relativen 
Personenbezug auszugehen. Müsste man nämlich von einem absoluten Ver- 
ständnis des Personenbezugs ausgehen, gäbe es so gut wie keine anonymen 
Daten, daesirgendjemandem nahezu immer möglich ist, den Personenbezug 
herzustellen, sodass anonyme Daten nie aus dem Anwendungsbereich der 
Verordnung ausgeschlossen wären.” 


76 S.z.B. Kroschwald 2015, 58. 

77 S. Schantz, NW 2016, 1841 (1843); Brink/Eckhardt, ZD 2015, 205 (209). 

78 S. zu anonymen Daten näher Kap. 3.2. 

79 Roßnagel/Kroschwald, ZD 2014, 495 (497); Herbst, NVwZ 2016, 902 (905); Barlag, in: Roßnagel 2017, $ 3 Rn. 9; 
Hofmann/Johannes, ZD 2017, 221 (223); Kühling/Klar, NW 2013, 3611 (3616); Nink/Pohle, MMR 2015, 563 
(565f.); Eckart, CR 2015, 113 (115). 
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„Pseudonymisierung“ von personenbezogenen Daten definiert Art. 4 Nr. 5 
DSGVO so, dass personenbezogene Daten in einer Weise verarbeitet werden, 
dass sie ohne Hinzuziehung zusätzlicher Informationen „nicht mehr einer 
spezifischen betroffenen Person zugeordnet werden können“. ® Soweit pseu- 
donymisierte Daten nicht mehr einer bestimmten Person zuordenbar sind, 
sind sie nicht mehr personenbezogen. Der Personenbezug kann allerdings 
unter Hinzuziehung zusätzlicher Informationen, einer Zuordnungsregel, wie- 
der hergestellt werden.® Daher fordert die Definition in Art. 4 Nr. 5 DSGVO 
vom Inhaber der zusätzlichen Informationen Sicherungsmaßnahmen, „diese 
zusätzlichen Informationen gesondert“ aufzubewahren sowie technische und 
organisatorische Maßnahmen zu ergreifen, die gewährleisten, dass die per- 
sonenbezogenen Daten nicht einer identifizierten oder identifizierbaren na- 
türlichen Person zugewiesen werden“. Diese rechtliche Konstruktion geht von 
relativen Bezügen aus. Sie unterstellt, dass die personenbezogenen Daten so 
pseudonymisiert werden können, dass die Daten für alle außer dem Inhaber 
der Zuordnungsregel nicht mehr einer bestimmten Person zuordenbar sind, ® 
dem Inhaber der Zuordnungsregel aber schon. ® Die Definition des Art. 4Nr. 5 
DSGVO spricht daher für einen relativen Personenbezug. * 


3.1.5.4 Sinn und Zweck 


Dies entspricht auch einer teleologischen Betrachtung der Datenschutz-Grund- 
verordnung: Der Verantwortliche nimmt durch seine Verarbeitung der Daten 
der betroffenen Person einen Eingriff in ihr Grundrecht auf Datenschutz und 
informationelle Selbstbestimmung vor.®Vor diesem Eingriff, sofern er rechts- 
widrigist, soll das Datenschutzrecht die betroffene Person schützen - immer, 
aber auch nur gegenüber dem jeweils Eingreifenden. Das Datenschutzrecht 
soll die Gefahr einer Verletzung dieser Grundrechte ausschließen. Eine solche 
Gefahr kann aber von einem bestimmten Verantwortlichen nur ausgehen, 
wenn er zumindest die Möglichkeit hat, die Daten der betroffenen Person zu- 
zuordnen. Wenn diese Zuordnung ausgeschlossen ist, dann ist auch die Ge- 
fahr einer Grundrechtsverletzung durch diesen Verantwortlichen ausgeschlos- 
sen. Für das Datenschutzrecht besteht dann kein Schutzauftrag. 


Das Grundrecht auf Datenschutz soll - ebenso wie das Grundrecht auf infor- 
mationelle Selbstbestimmung® - den betroffenen Personen gewährleisten, 


80 S. zu pseudonymen Daten ausführlich Kap. 3.3. 

81 S. Roßnagel/Scholz, MMR 2000, 721ff. 

82 S. hierzu näher Kap. 3.3.1. 

83 Daher bleiben die Daten nach Erwägungsgrund 26 Satz 2 DSGVO für alle, die über die zusätzlichen Informatio- 
nen verfügen können, personenbezogen. 

84 Ebenso Hofmann/Johannes, ZD 2017, 221 (222f.); Marnau, DuD 2016, 428 (430). 

85 S. ausführlich Roßnagel/Pfitzmann/Garstka 2002, 46ff. 

86 Zum Verhältnis zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf informationelle Selbstbe- 
stimmung s. z.B. Masing, N)W 2012, 2305ff; Danwitz, DuD 2015, 581ff.; Geminn/Roßnagel, |Z 2015, 703ff. 
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dass sie immer „wissen können, wer was wann und bei welcher Gelegenheit 
über sie weiß“. # Dies ist die Voraussetzung, damit sie das Wissen ihres Gegen- 
übers über ihre Situation einschätzen können. Nur dann sind sie frei, sich 
diesem Wissen entsprechend zu entscheiden und zu verhalten. Für dieses Ziel 
der informationellen Selbstbestimmung und des Datenschutzes ist also ent- 
scheidend, was jeweils derjenige, der die Daten des Betroffenen verarbeitet, 
über ihn weiß. Die normativen Anforderungen der informationellen Selbst- 
bestimmung sollen somit eine soziale Beziehung gestalten. Sie gewährleisten 
Transparenz und Freiheit der Selbstbestimmung jeweils gegenüber dem Ver- 
antwortlichen. Wer diese Freiheit nicht bedroht, weil er die Daten nicht in 
einer Beziehung zum Betroffenen nutzen kann, muss die Anforderungen der 
informationellen Selbstbestimmung und des Datenschutzes nicht erfüllen. 
Diesem Schutzziel entspricht ein relatives Verständnis des Begriffs „personen- 
bezogene Daten“, nicht ein absolutes. 


Umgekehrt betrachtet, ist die Anwendung des Datenschutzrechts mit seinem 
Grundsatz, dass es dem Verantwortlichen nicht erlaubt, Daten der betroffenen 
Person zu verarbeiten, solange er hierfür keine Einwilligung der betroffenen 
Person oder keine Erlaubnis eines Rechtsetzers hat, ein Eingriffin die Grund- 
rechte des Verantwortlichen aus Art. 5 Abs. ıund 3, 12 Abs. ı und 2 Abs. 1 GG® 
sowie Art. 11, 13, 15 und 16 GrCh. Dieser Eingriff ist nur gerechtfertigt, wenn 
er geeignet, erforderlich und zumutbar ist, um eine Gefahr für das Grundrecht 
auf Datenschutz nach Art. 8GRCh und auf informationelle Selbstbestimmung 
des Betroffenen nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abzuwehren. ® Nach 
der absoluten Sichtweise muss der Verantwortliche diesen Grundrechtsein- 
griff jedoch hinnehmen, auch wenn von der Datenverarbeitung in keiner Wei- 
se eine Gefahr für dieinformationelle Selbstbestimmung und den Datenschutz 
der betroffenen Person ausgehen kann - weil er die Daten ihr nicht zuordnen 
kann.%In diesem Fall ist der Eingriffin die Grundrechte des Verantwortlichen 
aber weder geeignet noch erforderlich noch ihm zumutbar. % 


Die absolute Betrachtungsweise würde sogar dazu führen, dass Verantwort- 
liche, die ein bestimmtes Datum verarbeiten, datenschutzrechtliche Pflichten 
erfüllen müssen, wenn auch nur eine einzige Stelle auf der Welt in der Lage 
sein könnte, das Datum einer bestimmten Person zuzuordnen. Es gibt keinen 
Grund, warum deren Wissen zulasten aller anderen Verantwortlichen wirken 
und bei diesen Grundrechtseingriffe begründen sollte.” Im Gegenteil verstößt 


87 S. BVerfGE 65, 1 (43). 

88 S. z.B. Roßnagel/Pfitzmann/Garstka 2001, 48ff. 

89 S. z.B. Buchner, in: Täger/Gabel, $ 3 Rn. 12f.; Stiemerling/Hartung, CR 2012, 64. 

90 Dass das BVerfGE 65, 1 (46) feststellt, dass es unter den Bedingungen der modernen Datenverarbeitung „kein 
harmloses“ Datum gibt, begründet zwar ein Schutzbedürfnis der betroffenen Person bezogen auf die Verarbei- 
tung aller personenbezogenen Daten, aber nicht einen Grundrechtseingriff durch alle Verantwortlichen - ins- 
besondere, wenn diese keinen Personenbezug herstellen können. 

91 Im Ergebnis ebenso Hofmann/Johannes, ZD 2017, 221 (225). 

92 S. BGH, ZD 2015, 80, Rn. 28; Brink/Eckhardt, ZD 2015, 205 (209). 
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eine solche Sichtweise gegen das Bestimmtheitsgebot, weil die Anwendbar- 
keit des Datenschutzrechts davon abhinge, ob irgendjemand weitere Kennt- 
nisse hat, ohne dass der Verantwortliche dies wissen oder beeinflussen kann.% 
Auch wäre der Verantwortliche, der den Bezug zur betroffenen Person gar 
nicht kennt, nicht in der Lage, seine Pflichten zur Information, zur Auskunft, 
zur Berichtigung oder zur Löschung zu erfüllen. Grundrechtskonform kann 
das Datenschutzrecht daher nur angewendet werden, wenn sein jeweiliger 
Adressat eine „Grundrechtsgefahr“ darstellt. Dies ist - mit dem relativen Be- 
griff des Personenbezugs - nur dann der Fall, wenn der Adressat mit Hilfe sei- 
nes verfügbaren Zusatzwissens die betroffene Person bestimmen kann.°* 


3.1.5.5 Bedeutungslosigkeit des Theorienstreits 


Das Konzept des „absoluten“ Personenbezugs ist nur dann konsequent, wenn 
seine Vertreter die Meinung vertreten, dass es auf das weltweit verfügbare 
Wissen über die Zuordnungsmöglichkeit eines Datensatzes zu einer bestimm- 
ten Person ankommt. Dies führt dazu, dass nahezu jedes Datum personen- 
bezogen ist und jedes Datum die datenschutzrechtlichen Pflichten und Rech- 
te, Aufgaben und Befugnisse hervorruft. Denn zu jedem Datum kann ob- 
jektiv zumindest ein Bezug zu seinem Erzeuger, Verarbeiter, Verwender oder 
der betroffenen Person hergestellt werden. Dieses Ergebnis wäre - jenseits der 
vielen Gründe, die gegen dieses Konzept vorgetragen wurden - absurd. 


Den Vertretern des Konzepts des „absoluten“ Personenbezugs kommt der Ver- 
dienst zu, darauf hingewiesen zu haben, dass unter den Bedingungen von 
ubiquitous computing, Internet-Tracking und Big Data jedem Datum ein Be- 
zug zu einer natürlichen Person zukommen kann. Auch wenn die Daten sta- 
tistisch aggregiert, pseudonymisiert, anonymisiert, verschlüsselt oder auf 
sonstige Weise ihres Bezugs zu einer bestimmten Person beraubt zu sein schei- 
nen, ist nicht auszuschließen, dass irgendjemand zu einem späteren Zeit- 
punkt diesen Bezug herstellen kann.” Dieses Risiko besteht und ist ernst zu 
nehmen. Dem Anliegen der Vertreter des Konzepts eines absoluten Perso- 
nenbezugs muss dadurch entsprochen werden, dass alle denkbaren Möglich- 
keiten der Identifizierung nachgegangen wird und auch die Zukunftsdynamik 
Berücksichtigung findet. 


93 Meyerdierks, MMR 2009, 8 (11); Ziebarth, in: Sydow, Art. 4 Rn. 39. 

94 Roßnagel/Scholz, MMR 2000, 723. 

95 S. Kap. 3.1.1. 

96 S. z.B. Husemann, in: Roßnagel 2018, $ 3 Rn. 7; Brink/Eckhardt, ZD 2015, 205 (207); Nink/Pohle, MMR 2015, 563 
(565). 

97 S. z.B. Bergt, ZD 2015, 365 (369); Herbst, NVwZ 2016, 902 (904); s. hierzu auch Brink/Eckhardt, ZD 2015, 205 
(206). 

98 Ihm müsste mit einem Konzept der Datenschutzvorsorge begegnet werden - s. z.B. Roßnagel/Scholz, MMR 
2000, 721 (728ff.); Roßnagel 2007, 185ff., Roßnagel/Geminn/Jandt/Richter 2016, 137. 


156 


3 Personenbezogene Daten 


Dieses Risiko begründet jedoch nicht, es jedem Datenverarbeiter zuzurechnen 
und ihn zur Bekämpfung dieses Risikos mit allen datenschutzrechtlichen Pflich- 
ten zur Gefahrenabwehr zu belasten. Wenn aber zwischen der NSA und Google 
einerseits und dem „Bäcker um die Ecke“ andererseits differenziert werden 
muss, dann kann nur ein Konzept rechtlich vertreten werden, das den Perso- 
nenbezug risikobezogen und relativ von den Handlungsmöglichkeiten des Ver- 
arbeiters her bestimmt.” Mit dieser Erkenntnis löst sich der Streit zwischen 
den beiden Konzepten auf und wendet sich pragmatisch den Fragen zu, welches 
mögliche Zusatzwissen dem jeweiligen Datenverarbeiter zuzurechnen ist. 


3.1.5.6 Praktisch verfügbares Zusatzwissen 


Entscheidend ist also, über welches Zusatzwissen der Verantwortliche verfü- 
gen kann. Nach Erwägungsgrund 26 Satz 3 DSGVO ist für das Zusatzwissen 
auf die Mittel abzustellen, „die von dem Verantwortlichen oder einer anderen 
Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die 
natürliche Person direkt oder indirekt zu identifizieren“. Demnach sollanhand 
einer Risikoprognose geprüft werden, ob „auf Grund allgemeiner Lebenserfah- 
rung oder auf Grund wissenschaftlicher Expertise ... mit einer Aufdeckung des 
Personenbezugs zu rechnen ist“. Die „rein hypothetische Möglichkeit zur 
Bestimmung der Person“ reicht nicht aus, um die Person als ‚bestimmbar‘ 
anzusehen“. Ein Personenbezug scheidet somit aus, wenn die Wahrschein- 
lichkeit einer Bestimmung so gering ist, dass das Risiko praktisch vernach- 
lässigbar ist." Die Bestimmbarkeit ist demnach nicht absolut zu beurteilen, 
sondern nach ihrer faktischen Durchführbarkeit.'= Ob eine Angabe tatsäch- 
lich zugeordnet werden kann, ist daher eine Frage der Wahrscheinlichkeit.'°* 


Das Wahrscheinlichkeitsurteil ergibt sich aus einer Zweck-Mittel-Abwägung. 
Nach Erwägungsgrund 26 Satz 4 DSGVO sind hinsichtlich der eingesetzten 
Mittel für das Gewinnen des Zusatzwissens die „Kosten der Identifizierung 
und der dafür erforderliche Zeitaufwand“ sowie „die zum Zeitpunkt der Ver- 
arbeitung verfügbare Technologie und technologische Entwicklungen zu 
berücksichtigen“. Es sollen „alle objektiven Faktoren“ bedacht werden. Die 
Aufzählung „Kosten und Zeit“ ist nicht abschließend, sondern ausdrücklich 
exemplarisch. „Alle“ deutet auf eine umfassende Berücksichtigung der 
Aufwandsfaktoren hin. *s Entscheidend für die Prognose über die Verwendung 


99 Eine Modifikation des Konzepts des absoluten Personenbezugs kann es nicht geben, da es bei Einschränkungen 
nicht mehr absolut ist. 

100 Roßnagel/Scholz, MMR 2000, S. 721 (723). 

101 Art. 29-Datenschutzgruppe, WP 136, 17 zur insoweit identischen Datenschutzrichtlinie. 

102 Dammann, in: Simitis, $ 3 Rn. 23; Art. 29-Datenschutzgruppe, WP 136, 17. 

103 So EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 46 - Breyer; BGH 2017, 2416 Rn. 24ff. zur 
insoweit identischen Datenschutzrichtlinie. 

104 Hofmann/Johannes, ZD 2017, 221 (224); Roßnagel/Scholz, MMR 2000, 726; Tinnefeld, in: Roßnagel 2003, 
Kap. 4.1 Rn. 23. 

105 Hofmann/Johannes, ZD 2017, 221 (224). 
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der Mittel ist auch das im Rahmen einer Risikobetrachtung zu ermittelnde 
Interesse, das der Verantwortliche oder die andere Person an der Identifizie- 
rung haben. Es kann für einen von beiden mit der Identifizierung beispiels- 
weise ein hohes wirtschaftliches Interesse verbunden sein. Daher ist auch 
der Wert oder der wirtschaftliche Nutzen'® einer personenbezogenen Zu- 
ordnung für den Verantwortlichen oder Dritten in die Wahrscheinlichkeits- 
prognose einzustellen. Außerdem sollten „der beabsichtigte Zweck, die 
Strukturierung der Verarbeitung, der von dem für die Verarbeitung Verant- 
wortlichen erwartete Vorteil, die auf dem Spiel stehenden Interessen für die 
Personen sowie die Gefahr organisatorischer Dysfunktionen (z.B. Verletzung 
von Geheimhaltungspflichten) und technischer Fehler ... ebenfalls Berück- 
sichtigung finden“, = 


Schließlich sind die möglichen Folgen für die betroffene Person zu berück- 
sichtigen. Die nach allgemeinem Ermessen zu bestimmende Wahrscheinlich- 
keit muss umso geringer sein, je größer der Schaden eines Missbrauchs der 
Daten für die betroffene Person wäre. Je weniger belastende Folgen für sie an- 
zunehmen sind, desto geringer darf der Anspruch sein, sie zu vermeiden." 
Die Anforderungen an den Ausschluss der Identifizierung dürften daher im 
Gesundheitsbereich in der Regel höher sein als im Bereich Online-Spiele. 


Letztlich wird die Wahrscheinlichkeit nach einem objektiven Maßstab be- 
stimmt durch eine Kosten-Nutzen-Risiko-Relation, die für den jeweiligen Ver- 
antwortlichen oder Auftragsverarbeiter anzustellen ist.” Nur wenn danach 
wahrscheinlich ist, dass er in der Lage ist, die Daten und sein erreichbares 
Zusatzwissen zu nutzen, um die betroffene Person zu identifizieren, handelt 
es sich für ihn um personenbezogene Daten. 


Erwägungsgrund 30 DSGVO gibt einen Hinweis, wie verfügbare Technologien 
für die Identifizierung von natürlichen Personen genutzt werden können: 


„Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen 
und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder 
Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zuge- 
ordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen 
Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden 
können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“ 


106 Hofmann/Johannes, ZD 2017, 221 (224). 

107 Dammann, in: Simitis, $ 3 Rn. 25. 

108 Gola/Schomerus, $ 3 Rn. 44. 

109 Hofmann/Johannes, ZD 2017, 221 (224); Kroschwald 2015, 58f.; Nink/Pohle, MMR 2015, 563 (565); Marnau, 
DuD 2016, 428, (430). 

0 Art. 29-Datenschutzgruppe, WP 136, 18. 

1 Zu der aus dem Grundrechtsschutz und dem Verhältnismäßigkeitsgrundsatz abgeleitete Je-Desto-Formel s. 
BVerfGE 49, 89 (136ff.). 

2 5. z.B. auch Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 23; Kroschwald 2015, 58f.; Dammann, in: Simitis, 
63 Rn. 25. 
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Datenspuren, die im Internet oder im Ubiquitous Computing hinterlassen 
werden, können durch Kombination mit anderen Daten wie eindeutigen Ken- 
nungen und anderen eingehenden Daten dazu benutzt werden, um Profile 
der natürlichen Personen zu erstellen und sie zu identifizieren. Sowohl die 
erfassten Datenspuren als auch die aus ihnen angelegten Profile sollen somit 
als personenbezogene Daten betrachtet werden und dem Datenschutzrecht 
unterfallen. Damit ist für IP-Adressen» und Cookies eindeutig geklärt, dass 
sie personenbezogene Daten sein können. 


Die Zweck-Mittel-Relation ist nicht statisch, sondern kann sich mit der Zeit 
verändern. ™ Daher muss für die Bestimmung möglichen Zusatzwissens auch 
die Zeitdimension einbezogen werden. Der Aufwand zur Bestimmung von 
Personen kann sich etwa mit der fortlaufenden Erweiterung der zugänglichen 
Datenmenge sowie mit den Möglichkeiten zur technischen Zusammenfüh- 
rung und Verknüpfung von Daten reduzieren. ”s Aktuell als nicht personen- 
bezogen eingestufte Daten können zukünftig personenbezogen werden.‘ Da- 
her fordert Satz 4 des Erwägungsgrunds 26 DSGVO, neben der „zum Zeitpunkt 
der Verarbeitung verfügbare(n) Technologie“ auch die „technologische(n) Ent- 
wicklungen zu berücksichtigen“. Hierfür ist zumindest für die nähere Zu- 
kunft die Dynamik der absehbaren technischen Entwicklungen in die Prog- 
nose der Identifizierbarkeit aufzunehmen. ”8 Wenn der Verantwortliche in 
absehbarer Zeit über neue technische Mittel zur Identifizierung verfügt oder 
verfügen kann, bestimmen diese die Wahrscheinlichkeit der Identifizierung. 
Die Prüfung des Personenbezugs muss - so die Art. 29-Datenschutzgruppe zur 
insoweit identischen Datenschutzrichtlinie - zumindest „die Entwicklungs- 
möglichkeiten in dem Zeitraum berücksichtigen ..., für den die Daten verarbei- 
tet werden“. ™ Dabei ist eine Abwägung vorzunehmen zwischen der zeitlichen 
Verfügbarkeit neuer technischer Mittel und dem Wert und der Verwendbarkeit 
von Informationen im Zeitablauf. Wenn die Daten nur kurzfristig aufbewahrt 
werden, ist ein langer Blick in die Zukunft voraussichtlich nicht notwendig. 
„Bei einer Aufbewahrungsdauer von zehn Jahren hingegen sollte der für die 
Verarbeitung Verantwortliche die Möglichkeit der Identifizierung berück- 


113 Die hM nimmt ohnehin einen Personenbezug an, s. Dammann, in: Simitis 2014, § 3 Rn. 63 m.w.N.; s. auch 
EuGH, Urteil vom 24.11.2011, Rs. C-70/10, ECLI:EU:C:2011:771, Scarlet Extended; EuGH, Urteil vom 19.10.2016, 
C-582/14, ECLI:EU:C:2016:779, Breyer; BGH, ZD 2015, 80; zum Streit um den Personenbezug von IP-Adressen 
s. z.B. Düsseldorfer Kreis 2009; Eckhardt, CR 2011, 339; Krüger/Maucher, MMR 2011, 433; Meyerdierks, MMR 
2009, 8; Nink/Pohle, MMR 2015, 563; Pahlen-Brandt, K&R 2008, 286; Sachs, CR 2010, 547; Breyer, ZD 2014, 400. 

114 S. z.B. Kroschwald 2015, 59; Marnau, DuD 2016, 428, (429). 

115 S. BVerfGE 65, 1 (45). 

116 Dammann, in: Simitis, $ 3 Rn. 36; Kroschwald 2015, 59f.; Kühling/Klar, NIW 2013, 3613 f. 

117 Die Bewertung der Identifizierungsmöglichkeiten sind daher nach Erwägungsgrund 26 DSGVO nicht auf den 
Zeitpunkt der Datenverarbeitung beschränkt, so Kühling/Klar, NIW 2013, 3611 (3613), sondern berücksichtigt 
auch absehbare technische Entwicklungen, so auch Marnau, DuD 2016, 428, (429); Klar/Kühling, in: Kühling/ 
Buchner, Art. 4 Nr. 1 Rn. 24; Schantz, in: Schatz/Wolf 2017, Rn. 283. 

118 Im Ergebnis ebenso Hofmann/Johannes, ZD 2017, 221 (224f.) 

119 Art. 29-Datenschutzgruppe, WP 136, 18; Kroschwald 2015, 60. 
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sichtigen, die im neunten Jahr der Aufbewahrungsdauer der Daten entstehen 
könnte und die sie in diesem Moment zu personenbezogenen Daten machen 
würden. Das System sollte diesen Entwicklungen angepasst werden können 
und dann zum gegebenen Zeitpunkt die geeigneten technischen und organi- 
satorischen Maßnahmen einbeziehen. “2° 


3.1.5.7 Zusatzwissen Dritter 


Nach Satz 3 des Erwägungsgrunds 26 DSGVO sollten bei der Entscheidung, ob 
eine Person identifizierbar ist, auch „alle Mittel berücksichtigt werden, die 
von .... einer anderen Person nach allgemeinem Ermessen wahrscheinlich ge- 
nutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“. 
Mit diesen Dritten sind nicht beliebige Dritte gemeint. Die Frage nach dem 
Personenbezug stellt sich immer in einer Situation, in der über die Anwend- 
barkeit des Datenschutzrechts auf einen bestimmten Umgang mit bestimm- 
ten Daten entschieden werden muss. Für die Auslegung des Erwägungs- 
grunds 26 Satz 3 DSGVO kann auf die Rechtsprechung und Literatur zu dieser 
Frage in der Datenschutzrichtlinie zurückgegriffen werden. Danach ist für 
diesen Datenumgang das Zusatzwissen Dritter dann relevant, wenn die Drit- 
ten 


= Daten vom Verantwortlichen oder Auftragsverarbeiter erhalten (sollen) 
(Veröffentlichung, Übermittlung) oder sich beschaffen (können), sodass 
sie in Bezug auf diese Daten selbst zum Verantwortlichen werden,» 

= mitdem Verantwortlichen oder dem Auftragsverarbeiter in irgendeiner 
Weise zusammenarbeiten (können), um die Person zu identifizieren” 
oder 

= ihr Zusatzwissen auf andere Weise dem Verantwortlichen oder Auftrags- 
verarbeiter zur Verfügung stellen können oder müssen. 3 


Allerdings kann eine Weitergabe der Daten von dem Dritten an weitere Dritte 
oft „nach allgemeinem Ermessen“ nicht ausgeschlossen werden. Dadurch 
kann der Kreis des einzubeziehenden Zusatzwissens stark erweitert werden. '* 
In diesem Fall ist auch dieses Zusatzwissen für die Frage der Identifizierbar- 
keit der betroffenen Person zu berücksichtigen. Macht also ein Verantwort- 
licher Daten, mit denen er keine betroffene Person identifizieren kann, einem 
Dritten zugänglich, der - wie etwa ein großes Unternehmen mit umfangrei- 
chen Sammlungen von Persönlichkeitsprofilen oder ein Geheimdienst - Iden- 


120 Art. 29-Datenschutzgruppe, WP 136, 18. Kühling/Klar, NW 2013, 3613f.; Dammann, in: Simitis, $ 3 BDSG, 
Rn. 38; Kroschwald 2015, 60. 
121 S. z.B. Art. 29-Datenschutzgruppe, WP 136, 18ff.; Dammann, in: Simitis, $ 3 Rn. 33f.; Eckhardt, CR 2011, 343f. 
122 S. z.B. Art. 29-Datenschutzgruppe, WP 136, 22f. 
123 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 43f. - Breyer; BGH 2017, 2416 Rn. 24ff.; Kühling/ 
Klar, ZD 2017, 28. 
124 Dammann, in: Simitis, $ 3 Rn. 34. 
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tifizierungen vornehmen kann, so handelt es sich um personenbezogene 
Daten. 


Das Zusatzwissen Dritter ist aber nur zu berücksichtigen, soweit „nach allge- 
meinem Ermessen“ mit seinem Einsatz zu rechnen ist. Es kommt also auf die 
Frage an, ob der Verantwortliche oder die andere Person die ihm oder ihr zur 
Verfügung stehenden technischen oder rechtlichen Möglichkeiten vernünf- 
tigerweise nutzen wird.” Dementsprechend qualifiziert der Europäische Ge- 
richtshof dynamische IP-Adressen dann als personenbezogen, wenn dem Ver- 
antwortlichen rechtliche Mittel wie etwa Auskunftsansprüche zur Verfügung 
stehen, mit deren Hilfe er an Zusatzinformationen gelangen kann, die einem 
Dritten vorliegen. Dabei reicht die grundsätzliche Berechtigung, ein recht- 
liches Mittel geltend zu machen, aus, ohne dass es auf die tatsächliche Durch- 
setzbarkeit der Ansprüche im konkreten Fall ankommt.'* 


Zusatzwissen Dritter ist für die Frage, ob der Betroffene identifizierbar ist, in 
der Regel nicht zu berücksichtigen, wenn die Verwendung des Zusatzwissens 
gesetzlich verboten ist.'> Selbstverständlich ist illegales Verhalten zu berück- 
sichtigen, wenn es stattfindet. In einem Rechtsstaat kann aber nicht jedem 
Beteiligten ohne Anlass eine Neigung oder gar Absicht zum Rechtsbruch unter- 
stellt werden, wenn die Befolgung eines Weitergabe- oder Verwendungsver- 
bots weitgehend gesichert ist.'® Dabei ist es gleichgültig, ob das rechtliche 
Verbot an den Verantwortlichen oder an den Dritten, der über das Zusatzwis- 
sen verfügt, gerichtet ist. Entscheidend ist, ob dem Zusammenbringen beider 
Komponenten Hindernisse von einer Qualität entgegenstehen, dass damit 
„nach allgemeinem Ermessen“ praktisch nicht zu rechnen ist." Ein Rechts- 
bruch ist daher zu berücksichtigen, wenn es Hinweise darauf gibt, dass recht- 
liche Verbote nicht beachtet, nicht kontrolliert oder nicht durchgesetzt wer- 
den. Eine gesetzliche oder vertragliche Verpflichtung, etwa ein Verbot zur 


125 S. z.B. Kroschwald 2015, 68; Kühling/Klar, NIW 2013, 3611 (3615); Klar 2012, 145; Gola, in: ders., Art. 4 Rn. 21; 
Gola/Schomerus, $ 3 Rn. 10, 44a; Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 27. Dies ist ein Haupt- 
argument der Vertreter für einen „absoluten“ Personenbezug, dem aber auch das Konzept eines „relativen“ 
Personenbezugs gerecht werden kann. 

126 Hofmann/Johannes, ZD 2017, 221 (224); Haase 2015, 304; Ziebarth, in: Sydow, Art. 4 Rn. 37. 

127 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 49 - Breyer; Kühling/Klar, ZD 2017, 28. 

128 S. Hofmann/Johannes, ZD 2017, 221 (224); Weinhold, ZD-Aktuell 2016, 05366. 

129 Gegen die Berücksichtigung z.B. EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 46 - Breyer; 
BGH 2017, 2416 Rn. 24ff.; BGH, ZD 2015, 80, Rn. 32; AG München, ZUM-RD 2009, 414; Hofmann/Johannes, 

ZD 2017, 221 (224); Nink/Pohle, MMR 2015, 563 (565); Meyerdierks, MMR 2009, 8 (11ff.); Krüger/Maucher, 
MMR 2011, 433 (437f.); Arning/Forgö/Krügel, DuD 2006, 700 (703); Eckhardt, CR 2011, 342; Kühling/Klar, 

NJW 2013, 3611 (3613); Kühling/Klar, ZD 2017, 28; Brink/Eckhardt, ZD 2015, 205 (211); Eckhardt, CR 2015, 113 
(115); a.A. und für die Berücksichtigung z.B. Weichert, DuD 2010, 681; ders., in: Däubler u.a. 2010, $ 3 Rn. 47; 
Pahlen-Brandt, K&R 2008, 286 (289); Dammann, in: Simitis, $ 3 Rn. 36; Bergt, ZD 2015, 365 (370); Herbst, NVwZ 
2016, 902 (905); AG Berlin-Mitte, K&R 2007, 601. 

130 Brink/Eckhardt, ZD 2015, 205 (211). 

131 Meyerdierks, MMR 2009, 8 (11f.); Krüger/Maucher, MMR 2011, 433 (437f.); Arning/Forgö/Krügel, DuD 2006, 700 
(703). 

132 Dammann, in: Simitis, $ 3 Rn. 33; Kroschwald 2015, 67. Vertragliche Absprachen reichen hierfür nicht aus. 
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Datenherausgabe, kann in solchen Fällen allein nicht ausreichen, um den 
Personenbezug zu verneinen und das Datenschutzrecht für unanwendbar zu 
erklären. 3 


In Fällen mit internationalem Datenverkehr und erschwerter Durchsetzung 
von rechtlichen Regelungen wird zu der rechtlichen Beschränkung, den Per- 
sonenbezug herzustellen, noch eine tatsächliche Beschränkung, mit den 
Daten die betroffene Person identifizieren zu können, hinzukommen müs- 
sen. Diese könnte beispielsweise in technisch-organisatorischen Maßnah- 
men bestehen. Existieren nicht nur rechtliche, sondern auch technische 
und organisatorische Hürden, kann für den Dritten eine Bestimmung des Be- 
troffenen „nach allgemeinem Ermessen“ unverhältnismäßig sein, sodass ein 
Personenbezug entfällt. Die Art. 29-Datenschutzgruppe hat diese Anforderun- 
gen, bezogen auf die insoweit identische Vorschrift des Art. 2lit. aDSRL, wie 
folgt zusammengefasst: 


Ist „die Reidentifizierung in Übermittlungs- und Verfahrensvorschriften ausgeschlos- 
sen“ und ist „die Identifizierung... keinesfalls beabsichtigt oder zu erwarten, weswe- 
gen geeignete technische Maßnahmen (z.B. Verschlüsselung, nicht rücknehmbares 
Hashing) getroffen wurden, die genau dies verhindern sollen, ... sind die vom ursprüng- 
lichen Verantwortlichen verarbeiteten Informationen nicht als Daten anzusehen, die 
sich auf bestimmte oder bestimmbare Personen beziehen, wenn alle Mittel berück- 
sichtigt werden, die vernünftigerweise entweder von dem für die Verarbeitung Ver- 
antwortlichen oder von einem Dritten eingesetzt werden. Die Bestimmungen der 
Richtlinie finden somit auf ihre Verarbeitung keine Anwendung.“ Dies soll selbst dann 
gelten, „wenn ungeachtet aller Übermittlungsvorschriften und Maßnahmen (auf- 
grund unvorhersehbarer Umstände wie die zufällige Zuordnung von Eigenschaften, 
die die Identität einzelner Personen offenbaren) einzelne Personen identifiziert 


“ 


werden“. 


Wenn geprüft wird, welche Daten in einem zu beurteilenden Fall in personen- 
bezogener Form vorliegen, ist nach diesen Kriterien zu verfahren. Um fest- 
stellen zu können, für welchen Verantwortlichen oder Auftragsverarbeiter und 
für welchen Datenverarbeitungsvorgang Datenschutzrecht anwendbar ist, ist 
differenziert zu untersuchen, bei welcher Stelle in welcher Phase der Daten- 
verarbeitung Daten vorliegen, für die ein Personenbezug hergestellt werden 
kann. 


133 Ziebarth, in: Sydow, Art. 4 Rn. 23, 37; Brink/Eckhardt, ZD 2015, 205 (211); Dammann, in: Simitis, $ 3 Rn. 28; 
Meyerdierks, MMR 2009, 8 (11f.), und Krüger/Maucher, MMR 2011, 433 (437f.), nehmen die „Kosten“ illegalen 
Handelns in die Aufwand-Nutzen-Abwägung mit auf; s. auch Kroschwald 2015, 67. 

134 Nicht durchsetzbare rechtliche Verbote in Drittstaaten reichen hierfür nicht aus - s. z.B. Kroschwald 2015, 68. 

135 Weichert, in: Däubler u.a., § 3 Rn. 1. 

136 Art. 29-Datenschutzgruppe, WP 136, 23, Hervorhebung im Original. 
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3.1.6 Ergebnis zum Personenbezug 


Nur wenn ein Verantwortlicher personenbezogene Daten verarbeitet, unter- 
steht er dem Datenschutzrecht. Sind die Daten nicht personenbezogen, greift 
Datenschutzrecht weder nach bisherigem noch nach zukünftigem Recht. 
Dementsprechend wichtig und umstritten ist der Begriff der personenbezo- 
genen Daten. 


Art. 4 Nr. ıDSGVO definiert personenbezogene Daten als „alle Informationen, 
die sich auf eine identifizierte oder identifizierbare natürliche Person bezie- 
hen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder 
indirekt, ... identifiziert werden kann“. Auch wenn sich der Wortlaut gegen- 
über Art. 2 lit. aDSRL und $ 3 Abs. ı BDSG a.F. unterscheidet, ist anerkannt, 
dass das Datenschutzrecht in der Datenschutz-Grundverordnung, in der 
Datenschutz-Richtlinie und im Bundesdatenschutzgesetz den gleichen Begriff 
verwendet. 


Entscheidend ist die Frage, wie eine Person indirekt identifiziert werden 
kann - vorallem, welches Zusatzwissen dritter Personen für diese Feststellung 
zu berücksichtigen ist. Nach dem herrschenden und richtigen „relativen“ Ver- 
ständnis des Personenbezugs ist nur das Wissen zu berücksichtigen, das der 
Verantwortliche mit verhältnismäßigem Aufwand mobilisieren kann. Daher 
kann der Personenbezug relativ und von Verantwortlichem zu Verantwortli- 
chem unterschiedlich sein. Diese Sichtweise wurde durch die Entscheidung 
des Europäischen Gerichtshofs vom 19. Oktober 2016 bestätigt. 


Das Zusatzwissen, das der Verantwortliche „nach allgemeinem Ermessen 
wahrscheinlich“ nutzen wird, ist für die praktischen Probleme des Daten- 
schutzes aus einer Risikoprognose zu bestimmen. Danach sind alle relevanten 
objektiven Faktoren zu beachten: der zeitliche Aufwand, die finanziellen Mit- 
tel, verfügbare Technologien und technologische Entwicklungen sowie das 
Interesse an der Zuordnung und die Folgen für die betroffene Person. Die Pro- 
gnose muss mindestens die Entwicklungsmöglichkeiten in dem Zeitraum be- 
rücksichtigen, für den die Daten verarbeitet werden sollen. Das Zusatzwissen 
Dritter ist dann relevant, wenn die Dritten die Daten vom Verantwortlichen 
erhalten (sollen) oder sich beschaffen (können), wenn sie mit dem Verantwort- 
lichen in irgendeiner Weise zusammenarbeiten (können), um die Person zu 
identifizieren, oder wenn sie ihr Zusatzwissen auf andere Weise dem Verant- 
wortlichen zur Verfügung stellen können oder müssen. Das Zusatzwissen Drit- 
ter ist aber nur zu berücksichtigen, soweit „nach allgemeinem Ermessen“ im 
konkreten Fall mit seinem Einsatz zu rechnen ist. Dies ist nicht der Fall, wenn 
die Verwendung des Zusatzwissens gesetzlich verboten ist und keine Anhalts- 
punkte für einen Rechtsbruch vorliegen. Ebenso sind gesetzliche Zugriffs- 


137 Erwägungsgrund 26 Satz 3 DSGVO. 
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kompetenzen staatlicher Behörden nur zu beachten, wenn es für deren kon- 
krete Ausnutzung Hinweise gibt. 


3.2 Anonymisierung personenbezogener Daten 
Das folgende Kapitel beantwortet die Frage 4.3. Diese lautet: 


Bitte vergleichen Sie die bisherige Definition des Anonymisierens nach BDSG mit dem 
Erwägungsgrund 26 der EU-DSGVO und führen Sie aus, wo aus Ihrer Sicht Unter- 
schiede im Vergleich zur bisherigen Rechtslage bei der Nutzung anonymer Daten für 
die wissenschaftliche Forschung bestehen. 


Eng mit dem Begriff der personenbezogenen Daten ist der Begriff der anony- 
men Daten verbunden. Diese sind Angaben zu einer betroffenen Person, die 
ihr nicht zugeordnet werden können. Sie fallen daher nicht unter den Begriff 
der personenbezogenen Daten und daher auch nicht unter das Datenschutz- 
recht.: Diese Daten können vom Zeitpunkt ihrer Entstehung her anonym 
sein, sie können aber auch aus personenbezogenen Daten entstehen, indem 
sie dadurch anonymisiert werden, dass ihnen alle potenziellen Zuordnungs- 
merkmale entfernt werden. 


3.2.1 Anonymisierung nach der Datenschutz-Grundverordnung 


Anonyme Daten und Anonymisierung werden in keiner Vorschrift der Daten- 
schutz-Grundverordnung genannt, aber in vielen Vorschriften als existent 
unterstellt und in Erwägungsgrund 26 Satz 5 und 6 DSGVO erwähnt. Diese 
beiden Sätze in dem Erwägungsgrund zu personenbezogenen Daten lauten: 


„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen 
gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizier- 
bare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise 
anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifi- 
ziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher 
anonymer Daten, auch für statistische oder für Forschungszwecke.“ 


Sowohl in Satz 5 als auch in Satz 6 wird die Rechtsfolge festgehalten: Anonyme 
Daten unterfallen nicht der Datenschutz-Grundverordnung. Sie ergibt sich 
nicht aus dem Erwägungsgrund, 9 sondern aus der Definition personenbezo- 
gener Daten in Art. 4 Nr. 1ı DSGVO. Die Rechtsfolge gilt auch, wenn die ano- 
nymen Daten für Forschungszwecke verarbeitet werden. Diese Rechtsfolge 


138 Roßnagel/Scholz, MMR 2000, 721 (723); Weichert, in: Däubler u.a., $ 3 Rn. 49; Kroschwald 2015, 72. 
139 S. hierzu Kap. 3.1.5.2. 
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dürfte auch der Grund sein, warum die Datenschutz-Grundverordnung keine 
Regelung für anonyme Daten - auch keine Definition - enthält. 


Satz 5 benennt anonyme Daten, für die diese Rechtsfolge gilt. Danach gibt es 
zwei Arten anonymer Daten. Zum einen können Daten deshalb anonym sein, 
weil sie sich nicht auf eine identifizierte oder identifizierbare natürliche Per- 
son beziehen. Ihnen fehlen von Anfang an Merkmale, die es ermöglichen, sie 
einer bestimmten natürlichen Person zuzuordnen. Zum anderen können 
Daten anonym sein, weil sie in einer Weise anonymisiert worden sind, dass 
die betroffene Person nicht oder nicht mehr identifiziert werden kann. In die- 
ser Alternative waren Daten personenbezogen, haben dann aber durch einen 
Anonymisierungsprozess die Merkmale verloren, die zuvor ermöglicht haben, 
die von ihnen betroffene Person zu identifizieren.“ In beiden Varianten wird 
die Anonymität von ihrem Ergebnis her definiert und ist in beiden Varianten 
gleich: Die Daten sind deshalb anonym, weil sie keine Zuordnung zu einer 
bestimmten Person ermöglichen. '* 


Anonyme Daten sind das Gegenteil von personenbezogenen Daten. * Sie gren- 
zen sich definitorisch von diesen dadurch ab, dass sie gerade keine personen- 
bezogenen Daten sind." Anonymisierung und Personenbezug korrelieren in- 
sofern negativ. Daten sind anonym und damit nicht identifizierbar, wenn sie 
mit den verfügbaren Mitteln nach allgemeinem Ermessen nicht einer be- 
stimmten Person zugeordnet werden können. Die Begriffe der anonymen 
Daten und nicht-personenbezogenen Daten weichen im Wesentlichen in 
einem Punkt voneinander ab: Soweit ein anderes Merkmal als die Bestimm- 
barkeit aus der Begriffsdefinition der personenbezogenen Daten zu verneinen 
ist und entsprechend kein Personenbezug vorliegt, sind die Daten nicht auto- 
matisch anonym. Handelt es sich beispielsweise um keine Einzelangaben, 
beschreiben die Informationen keine persönlichen oder sachlichen Verhält- 
nisse oder beziehen sich diese Informationen nicht aufeine natürliche Person, 
kann auch nicht von anonymen Daten gesprochen werden. ™ Es sind vielmehr 
Informationen, die zu keiner (natürlichen) Person gehören." Entscheidend 
ist, dass die Daten zwar Angaben zu einer bestimmten Person enthalten, dass 
mitihnen aber kein Bezug zu einer identifizierten oder identifizierbaren na- 
türlichen Person hergestellt werden kann. Da sie keiner natürlichen Person 
zugeordnet werden können, geht von ihnen auch kein Risiko aus. Das ist der 
inhaltliche Grund, warum sie von der Datenschutz-Grundverordnung nicht 
erfasst werden. 


140 Roßnagel/Scholz, MMR 2000, 721 (723). 

141 Forgö/Krügel, MMR 2010, 19; Meyerdierks, MMR 2009, 10; Kroschwald 2015, 57f. 
142 S. z.B. Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 31. 

143 S. Hofmann/Johannes, ZD 2017, 223. 

144 S. z.B. Kroschwald 2015, 71f. 

145 Roßnagel/Scholz, MMR 2000, 721 (723). 
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Die Datenschutz-Grundverordnung hat anonyme Daten -im Gegensatz zu $ 3 
Abs. 6 BDSG a.F. und $ 67 Abs. 8 SGB X a.F. - nicht definiert. Ebenso haben 
das neue Bundesdatenschutzgesetz und das neue Sozialgesetzbuch wie die 
Datenschutz-Grundverordnung aufeine Definition verzichtet. Daher kann ihr 
auch keine ausdrückliche Antwort auf die Frage entnommen werden, mit 
welcher Wahrscheinlichkeit der Personenbezug der Daten ausgeschlossen sein 
muss. Diese Antwort bietet auch Erwägungsgrund 26 DSGVO nicht. Dort heißt 
es nur, dass sich die Daten „nicht auf eine identifizierte oder identifizierbare 
natürliche Person beziehen“ und dass „die betroffene Person nicht oder nicht 
mehr identifiziert werden kann“. Da diese Frage nur die nach personenbezo- 
genen Daten umkehrt, kann auf die Ausführungen zu personenbezogenen 
Daten" Bezug genommen werden. Entsprechend den Ausführungen in Ka- 
pitel 3.5 ist diese Frage nach dem dort beschriebenen pragmatischen Konzept 
zu beantworten.'# 


Ob die Daten anonym sind und einen Personenbezug ausschließen, ist - aus- 
gehend von einem relativen Konzept'#- nach einer Risikoprognose zu bestim- 
men, die sowohl das Interesse möglicher Datenverarbeiter als auch die von 
ihnen mobilisierbaren Mittel der Zuordnung berücksichtigt. Diese Sichtweise 
liegt der Definition des $ 3 Abs. 6 BDSG a.F. und des $ 67 Abs. 8 BDSG X a.F. 
zugrunde, nach der die Daten dann anonym sind, wenn „sie nur mit unver- 
hältnismäßigem Aufwand einer Person zugeordnet werden können“. Nach 
dieser im geltenden Recht zu findenden pragmatischen Sichtweise kann für 
die Bewertung als anonym die Zuordnung zwar theoretisch möglich sein, 
muss aber mit einer jeweils ausreichenden Wahrscheinlichkeit ausgeschlos- 
sen sein. Die Zuordnung muss im Verhältnis zu dem dazu notwendigen Auf- 
wand so unverhältnismäßig sein, dass eine Identifizierung nach allgemeiner 
Lebenserfahrung oder dem Stand der Wissenschaft und Technik nicht zu er- 
warten ist.‘ Zu berücksichtigen sind dabei das vorhandene oder erwerbbare 
Zusatzwissen des Verantwortlichen, aktuelle und künftige technische Mög- 
lichkeiten der Verarbeitung sowie der mögliche Aufwand und die verfügbare 
Zeit. ° In diese Betrachtung müssen aber zusätzlich zur Verhältnismäßigkeit 
des Aufwands für den jeweiligen Datenverarbeiter auch die möglichen Folgen 
für die jeweils betroffene Person eingehen. Danach wären die Daten dann an- 
onym, wenn die Wahrscheinlichkeit der Zuordnung zu einer betroffenen Per- 
son angesichts des Verhältnisses von Nutzen und Aufwand für den jeweiligen 
Datenverarbeiter und angesichts der jeweiligen Gefährdung der Grundrechte 
der betroffenen Person ausreichend gering ist. Ein absoluter Ausschluss der 


146 S. insb. Kap. 3.1.5. 

147 Nach Laue/Nink/Kremer 2016, $ 1 Rn. 19 ist davon auszugehen, dass die bisherigen Definitionen von anony- 
men und anonymisierten Daten ihre Gültigkeit behalten. 

148 S. Kap. 3.1.3 bis 3.1.5. 

149 Roßnagel/Scholz, MMR 2000, 721 (724); Härting, NIW 2013, 2065 (2066); Laue/Nink/Kremer 2016, $ 1 Rn. 21. 

150 Roßnagel/Scholz, MMR 2000, 721 (724); Laue/Nink/Kremer 2016, $ 1 Rn. 21 
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Zuordnung ist nicht erforderlich. In der Literatur wird diese pragmatische 
Sichtweise" als faktische Anonymität bezeichnet.» 


Diese Bestimmungen einer ausreichenden Anonymität entsprechen den Ar- 
gumenten für die Abgrenzung von personenbezogenen Daten nach Art. 4 Nr. 1 
DSGVO.'s Hier wie dort geht es um die Bestimmung des relevanten Zusatz- 
wissens für die Definition personenbezogener Daten. Allerdings ist die Argu- 
mentation durch eine fehlende Definition anonymer Daten in der Daten- 
schutz-Grundverordnung erschwert. 


Es ist daher ergänzend zu prüfen, ob andere Vorschriften der Daten- 
schutz-Grundverordnung als Art. 4DSGVO andere Hinweise auf das Verständ- 
nis von anonymen Daten liefern. Einen solchen Hinweis könnte Art. 89 Abs. ı 
DSGVO bieten. Diese Öffnungsklausel für die Regelung verschiedener Ver- 
arbeitungszwecke, u.a. Forschungszwecke, fordert in Satz 4, die Daten nur 
noch ohne Personenbezug weiterzuverarbeiten, wenn der Forschungszweck 
den Personenbezug nicht mehr erfordert. Die Verordnung fordert somit eine 
Anonymisierung von Daten, ohne diesen Begriff ausdrücklich zu benennen. 
Diese Vorschrift beinhaltet keine ausdrückliche Erklärung für das geforderte 
Maß an Anonymisierung. Sie führt aber zu folgender Überlegung: * Wollte 
die Verordnung einen absoluten Ausschluss der Zuordnung, also auf die Mög- 
lichkeiten aller Menschen zur Identifizierung abstellen, bestünde die Mög- 
lichkeit zur Anonymisierung kaum mehr und würde die Weiterverarbeitung 
von Daten für viele Forschungsinstitutionen ausgeschlossen. Angesichts des 
Grundrechts auf Forschungin Art. 13 GRCh (und Art. 5 Abs. 3 GG) sprechen die 
besseren Argumente dafür, dass die Verordnung auf das Potenzial des Verant- 
wortlichen zur Re-Identifizierung abstellt, auf die er oder ein Dritter „nach 
allgemeinem Ermessen wahrscheinlich“ zurückgreifen kann. Das Gleiche gilt 
für jene Dritte, die „nach allgemeinem Ermessen“ die Identifizierung der be- 
troffenen Person betreiben könnten. Das können wissenschaftliche Koopera- 
tionspartner, interessierte Unternehmen, aber auch staatliche Stellen mit 
Zugriffsrechten sein, nicht aber alle Dritte weltweit. Für staatliche Stellen 
genügt jedoch nicht die abstrakte gesetzliche Möglichkeit, sondern es muss 
„nach allgemeinem Ermessen“ damit gerechnet werden können, dass sie auf 
die (scheinbar) anonymen Daten zugreifen und mit diesen die betroffene Per- 
son identifizieren. ss 


Im Ergebnis ist daher festzuhalten: Erwägungsgrund 26 Satz 5 und 6 DSGVO 
erläutert den Begriff der personenbezogenen Daten in Art. 4 Nr. ıDSGVO durch 
den Rückgriff auf den Begriff der anonymen oder anonymisierten Daten. 


151 S. z.B. Dammann, in: Simitis, $ 3 Rn. 23; Gola/Schomerus, $ 3 Rn. 43f.; Hornung, DuD 2004, 429; Roßnagel/ 
Scholz, MMR 2000, 721 (724ff.); Buchner, in: Taeger/Gabel, $ 3 Rn. 44. 

152 S. z.B. Härting, NW 2013, 2065; Laue/Nink/Kremer, § 1 Rn. 21; Ziebarth, in: Sydow, Art. 4 Rn. 98. 

153 S. Kap. 3.1.5. 

154 S. zu dieser Hofmann/Johannes, ZD 2017, 223. 

155 S. z.B. Brink/Eckhardt, ZD 2015, 211; 
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Er verwendet dabei diesen Begriffin einer Weise, die dem bisherigen Verständ- 
nis der pragmatischen Sichtweise einer faktischen Anonymität entspricht.’ 


3.2.2 Anonymisierung nach $ 27 Abs. 3 BDSG-neu 


$ 27 BDSG-neu enthält in Ausfüllung der Öffnungsklausel in Art. 89 Abs. ı 
DSGVO besondere Regelungen für die Datenverarbeitung zu Forschungs- und 
Statistikzwecken. Abs. 3 enthält Vorgaben zu geeigneten Garantien für die 
Rechte und Freiheiten der betroffenen Person für den Fall, dass der Verant- 
wortliche besondere Kategorien personenbezogener Daten verarbeitet. $ 27 
Abs. 3 BDSG-neu lautet: 


„Ergänzend zu den in $22 Absatz2 genannten Maßnahmen sind zu wissenschaftlichen 
oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete be- 
sondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz ı der 
Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder 
Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person 
stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen 
Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder 
bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben 
nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies er- 
fordert.“ 


Der amtlichen Begründung zu $ 27 Abs. ı BDSG-neu kann entnommen werden, 
dass die gesamte Vorschrift des $ 27 BDSG für „die öffentliche und private For- 
schung durch öffentliche und nicht-öffentliche Stellen gilt“. 5® Abs. 3 wird in 
der amtlichen Begründung nur mit dem Hinweis erläutert, dass diese Rege- 
lung $ 40 Abs. 2 BDSG a.F. „entlehnt“ ist. +9 


Sie ist jedoch nicht mit $ 40 Abs. 2 BDSG a.F. identisch. Denn dessen Satz ı 
lautet: 


„Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem For- 
schungszweck möglich ist.“ 


$ 40 Abs. 2 Satz ı BDSG a.F. ist auf Forschungsinstitutionen beschränkt und 
bezieht sich auf alle personenbezogenen Daten, die zu Forschungszwecken 
verarbeitet werden. Die Vorschrift fordert, diese zu anonymisieren, sobald 
dies möglich ist. ş 27 Abs. 3 Satz ı BDSG-neu gilt dagegen auch für Statistik- 


156 S. Fn. 149f. 

157 S. z.B. Laue/Nink/Kremer, $ 1 Rn. 21; Gola, in: Gola, Art. 4 Rn. 40; Ziebarth, in: Sydow, Art. 4 Rn. 98; Schantz, in: 
Schantz/Wollff, Rn. 297ff.; Husemann, in: Roßnagel 2018, $ 3 Rn. 7. 

158 BT-Drs. 18/11325, 98; Greve, NVwZ 2017, 737 (739). 

159 BT-Drs. 18/11325, 98. 
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zwecke und schränkt die Forderung nach Anonymisierung auf besondere Ka- 
tegorien personenbezogener Daten ein. 6° 


Mit s 27 Abs. 3 BDSG-neu setzt der deutsche Gesetzgeber Art. 9 Abs. 2 lit. j 
DSGVO in Bezug auf Gesundheitsdaten um. Art. 9 Abs. 2 lit. j DSGVO erlaubt 
dem Mitgliedstaat jedoch nicht, Regelungen zu Daten zu treffen, die nicht 
Gesundheitsdaten sind. Auch ister nach dieser Öffnungsklausel nicht befugt, 
Regelungen zur Datenverarbeitung in der Forschung zu treffen. Für die Daten- 
verarbeitung in der Forschung ist - auch wenn es um medizinische Forschung 
geht - Art. 89 DSGVO die speziellere Norm. Daher muss der deutsche Gesetz- 
geber sowohl zur Forschung mit Gesundheitsdaten als auch zur Forschung mit 
anderen Daten Art. 89 Abs. ı DSGVO beachten. 


Art. 89 Abs. ıDSGVO fordert in Satzı, dass „die Verarbeitung zu ... Forschungs- 
zwecken ... geeigneten Garantien für die Rechte und Freiheiten der betroffenen 
Person gemäß dieser Verordnung“ unterliegt. Nach Satz 2 soll „mit diesen Ga- 
rantien ... sichergestellt (werden), dass technische und organisatorische Maß- 
nahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der 
Datenminimierung gewährleistet wird“. Hierzu sollen nach der missglückten 
Formulierung in Satz 4 „in allen Fällen, in denen diese Zwecke durch die Wei- 
terverarbeitung, bei der die Identifizierung von betroffenen Personen nicht 
oder nicht mehr möglich ist, erfüllt werden können, ... diese Zwecke auf die- 
se Weise erfüllt“ werden. Die Anonymisierung der Daten, die nicht mehr als 
personenbezogene Daten für Forschungszwecke benötigt werden, ist eine ge- 
setzlich vorgesehene Garantie, die Art. 89 Abs. ı Satz ı DSGVO fordert. Die 
englische Fassung des Art. 89 Abs. ı Satz 4 DSGVO lautet: 


“Where those purposes can be fulfilled by further processing which does not permit or 
no longer permits the identification of data subjects, those purposes shall be fulfilled 
in that manner.” 


Sie wird durch die deutsche Sprachfassung korrekt wiedergegeben. Dasin der 
englischen Fassung verwendete Wort „shall“ bedeutet im Deutschen kein 
„soll“, sondern - wie in allen anderen Regelungen der Verordnung, in denen 
das Hilfsverb „shall“ genutzt wird - ein „muss“. 


Diesen Anforderungen des Art. 89 Abs. ı DSGVO wird s 27 Abs. 3 BDSG-neu 
nicht gerecht. Weder die Garantien nach Art. 89 Abs. 1 Satzı DSGVO noch die 
Pflicht zur Anonymisierung nach Art. 89 Abs. ı Satz 4 DSGVO sind auf beson- 
dere Kategorien personenbezogener Daten beschränkt. Indem $ 27 Abs. 3Satzı 
BDSG-neu - im Gegensatzzu $40 Abs. 2Satzı BDSG a.F. - diese Einschränkung 
vornimmt, verstößt die Vorschrift gegen Art. 89 Abs. ıSatzıund4 DSGVO und 
ist unionsrechtswidrig.'* In dieser Hinsicht greift der Anwendungsvorrang 


160 Johannes/Richter, DuD 2017, 300 (304). 
161 Johannes/Richter, DuD 2017, 300 (302). 
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der Unionsverordnung und es gilt allein Art. 89 Abs. ı Satz 4 DSGVO für alle 
personenbezogenen Daten. *® 


Außerdem kann nach Art. 89 Abs. ı Satz 4 DSGVO von der Anonymisierung 
nur abgesehen werden, wenn dies zu Forschungszwecken zwingend erforder- 
lich ist. Daher ist auch die Ausnahme in s 27 Abs. 3 Satz ı BDSG-neu unions- 
rechtswidrig, nach der die Anonymisierung entfallen kann, wenn „berech- 
tigte Interessen der betroffenen Person ... dem entgegen“ stehen.'® Die Aus- 
nahme kann nicht angewendet werden. 64 


Soweit $ 27 Abs. 3 Satz ı BDSG-neu eine Anonymisierung vorsieht, entspricht 
dies der „Weiterverarbeitung, bei der die Identifizierung von betroffenen Per- 
sonen nicht oder nicht mehr möglich ist“, in Art. 89 Abs. 1 Satz 4 DSGVO und 
der Beschreibung der Anonymisierung in Erwägungsgrund 26 Satz 5 DSGVO. 
Auch $ 27 Abs. 3 Satz ı BDSG-neu erwähnt die zwei Entstehungsmöglichkeiten 
anonymer Daten, die in Erwägungsgrund 26 Satz 5 DSGVO genannt sind. In- 
sofern ergibt sich aus $ 27 Abs. 3 Satz ı BDSG-neu kein anderer Bedeutungsge- 
halt als der in Erwägungsgrund 26 Satz 5 DSGVO.'s 


3.2.3 Anforderungen an die Anonymisierung 
für die wissenschaftliche Forschung 


Die Datenschutz-Grundverordnung gibt keine Verfahren zur Anonymisierung 
vor. Vielmehr muss der Datenverarbeiter im Ergebnis diein Art. 4Nr. ıDSGVO 
niedergelegten Kriterien erfüllen, die eine Einordnung der Daten als perso- 
nenbezogen ausschließen. Ob ein Personenbezug ausgeschlossen ist, richtet 
sich nicht nach der Einhaltung eines bestimmten Verfahrens, sondern nach 
dem Erreichen des notwendigen Ergebnisses: Eine Identifizierbarkeit der be- 
troffenen Person muss mit den verfügbaren Mitteln nach allgemeinem Er- 
messen ausgeschlossen sein. 


Für eine Anonymisierung muss der Personenbezug für alle Beteiligten irrever- 
sibel entfernt sein. Nach dem Maßstab der faktischen Anonymität'® ist aus- 
zuschließen, dass diese nicht oder nur unter unverhältnismäßigem Aufwand 
in der Lage sind, die Daten einer natürlichen Person zuzuordnen. Nur soweit 
eine Zuordnung deranonymen Daten nach der allgemeinen Lebenserfahrung 
oder - in Ermangelung entsprechender Erfahrungswerte - auf Grundlage einer 


162 Im Ergebnis ebenso Greve, NVwZ 2017, 737 (739), der die Datenschutz-Grundverordnung für die Daten, die nicht 
besonderen Kategorien unterfallen, ergänzend anwenden will. 

163 Johannes/Richter, DuD 2017, 300 (304). 

164 Lebenswichtige Interessen der betroffenen Person können nach Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO berücksichtigt 
werden. 

165 S. hierzu Kap. 3.1.5.2. 

166 S. z.B. Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 33; Klabunde, in: Ehmann/Selmayr, Art. 4 Rn. 16. 

167 Dammann, in: Simitis, $ 3 Rn. 200. 

168 S. Kap. 3.2.1 und insb. Fn. 149f. und 155. 
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Risikoprognose auf dem Stand der Wissenschaft nicht zu erwarten ist, '% ist 
ein ausreichendes Maß der Anonymisierung erreicht.'” Dabei sind nach Er- 
wägungsgrund 26 Satz 4 DSGVO auch zukünftige „technologische Entwick- 
lungen“, die gegebenenfalls eine Re-Identifikation ermöglichen, zu berück- 
sichtigen.”: 


Die Methode der Anonymisierung hängt vom Aufbau und Inhalt des jeweili- 
gen Datenbestands ab.'” Unerlässlich ist wohl die irreversible Entfernung und 
Löschung der expliziten oder direkten Identifikationsmerkmale wie Namen 
und Anschriften, Personenkennzeichen, Kontonummern.'3 Dies kann aber 
in vielen Fällen unzureichend sein, insbesondere wenn der Verantwortliche 
Zusatzwissen mobilisieren kann, das dann auch ohne direkte Identifikations- 
merkmale eine Identifizierung ermöglicht. Weitere Maßnahmen“ sind etwa 
die Merkmalsaggregation, also das Ersetzen konkreter Angaben durch allge- 
mein gehaltene Ersatzangaben, ' oder auch der kontrollierte Einbau von Zu- 
fallsfehlern.° Stärken und Schwächen von Anonymisierungstechniken hat 
die Art. 29-Datenschutzgruppe analysiert. 7 


Nach Erwägungsgrund 26 Satz 4 DSGVO sind bei der Feststellung des Personen- 
bezugs von Daten „alle objektiven Faktoren, wie ... die zum Zeitpunkt der Ver- 
arbeitung verfügbare Technologie und technologische Entwicklungen zu be- 
rücksichtigen“. Daraus folgt, dass die eingesetzten Anonymisierungsverfah- 
ren dem aktuellen Stand der Technik”! und den absehbaren technischen Ent- 
wicklungen im Zeitraum der Datenspeicherung entsprechen müssen. 


Ist das Risiko einer Re-Identifizierung entscheidendes Differenzierungsmerk- 
mal zwischen anonymen und personenbeziehbaren Daten, erfordert die Dy- 
namik der Risikoentwicklung zwei Reaktionen: Zum einen ist bei der Festle- 
gung der Anonymisierungsverfahren eine „Schutzreserve“ vorzusehen, die 
zukünftigen Risiken vorbeugt.'° Zum anderen ist eine einmalige Risikoana- 
lyse unzureichend. Insbesondere wenn die anonymen Daten zur Datenana- 
lyse (etwa im Zusammenhang mit „Big Data-Anwendungen“ oder bei „Web- 
tracking Tools“) genutzt werden, ist regelmäßig zu prüfen, ob im Laufe der 


169 Roßnagel/Scholz, MMR 2000, 724. 

170 Kroschwald 2015, 72f. 

171 Für die DSGVO z.B. Marnau, DuD 2016, 428, (429); Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 24; 
Kühling/Klar, N|W 2013, 3611 (3613); Schantz, in: Schatz/Wolf 2017, Rn. 283. Hofmann/Johannes, ZD 2017, 221 
(224f.); Krügel, ZD 2017, 455 (456); für die DSRL bereits z.B. Art. 29-Datenschutzgruppe, WP 136, 18; Kroschwald 
2015, 60; Weichert, in: Däubler u.a., $ 3 Rn. 47. 

172 Dammann, in: Simitis, $ 3 Rn. 205. 

173 S. zu diesen z.B. Dammann, in: Simitis, $ 3 Rn. 206. 

174 Verfahren der Anonymisierung - Dammann, in: Simitis $ 3 Rn. 209 

175 Z.B. indem bei einer Altersangabe der Wert „103 Jahre“ durch die Gruppierung „Alter über 80 Jahre“ ersetzt 
wird, Dammann, in: Simitis, $ 3 Rn. 207. 

176 Dammann, in: Simitis, $ 3 Rn. 207ff. 

177 Art. 29-Datenschutzgruppe, Stellungnahme 5/2014, WP 216, 13ff. und Anhang, 33ff. 

178 So Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 1 Rn. 33. 

179 Schaar, ZD 2016, 224 (225). 


171 


II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


Zeit erworbenes Zusatzwissen, etwa durch verbesserte Analyse- und Verknüp- 
fungsmöglichkeiten, nicht zwischenzeitlich eine Identifizierung der ur- 
sprünglich anonymen Daten ermöglicht. +8 


3.2.4 Vergleich mit der Rechtslage nach der Datenschutz-Richtlinie und 
dem geltenden Bundesdatenschutzgesetz 


Die Datenschutz-Richtlinie kennt ebenfalls keine Regelung zur Anonymisie- 
rung. Sie wird lediglich in Erwägungsgrund 26 Satz 3 DSRL erwähnt. '# Dieser 
istim Wesentlichen identisch mit der Erwähnung der Anonymisierung in Er- 
wägungsgrund 26 Satz 5 DSGVO. Wie nach der Datenschutz-Grundverordnung 
ergibt sich das Verständnis der anonymen Daten und der Anonymisierung aus 
der Umkehr der Definition personenbezogener Daten in Art. 2 lit. a DSRL. 
Insofern können alle Erkenntnisse zur Anonymisierung nach der Daten- 
schutz-Richtlinie auch auf die Datenschutz-Grundverordnung übertragen 
werden. 


Dagegen hat das Bundesdatenschutzgesetz a.F. „Anonymisieren“ in $3 Abs. 6 
wie folgt definiert: 


Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzel- 
angaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem 
unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimm- 
ten oder bestimmbaren natürlichen Person zugeordnet werden können. 


Die Definition in $ 67 Abs. 8SGB X a.F. ist bis auf den Austausch der Worte 
„personenbezogener Daten“ durch „Sozialdaten“ mit der Definition in $ 3 
Abs. 6 BDSG a.F. identisch. 


Danach sind Daten „anonym“ und damit nicht personenbezogen, '*» wenn sie 
nur mit unverhältnismäßigem Aufwand einer Person zugeordnet werden kön- 
nen. Für diese faktische Anonymität ist ein vollständiger Ausschluss der Zu- 
ordnung der Daten zu einer bestimmten Person nicht erforderlich. Dies ent- 
spricht auch dem Erwägungsgrund 26 Satz 5 DSGVO. Sowohl nach diesem 
Erwägungsgrund als auch nach s 3 Abs. 6 BDSG a.F. und $ 67 Abs. 8 SGB X a.F. 
genügt eine faktische Anonymisierung.'® 


Daher ist festzustellen, dass die Datenschutz-Grundverordnung weder für den 
Begriff noch für die Funktion für die Rechtsfolgen der Anonymisierung und 


180 Laue/Nink/Kremer 2016, $ 1 Rn. 22. 

181 S. den Text des Erwägungsgrunds 26 in Kap. 3.1.3. 

182 S. z.B. Gola/Schomerus, $ 3 Rn. 11, 43; Buchner, in: Taeger/Gabel, $ 3 Rn. 44f.; 9; Roßnagel/Scholz MMR 2000, 
723f., Roßnagel, digma 2011, 161; Schaar, ZD 2016, 224 (225); dagegen Verwirrung suchend Härting, NIW 2013, 
2066. 

183 Schaar, ZD 2016, 224 (225). 
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anonymer Daten gegenüber der Rechtslage unter dem bisherigen Bundes- 
datenschutzgesetz und dem bisherigen Sozialgesetzbuch wesentliche Ände- 
rungen gebracht hat. 


Zur Erläuterung dieses Ergebnisses sei noch einmal darauf hingewiesen, dass 
die Datenschutz-Grundverordnung weder eine Definition noch eine Regelung 
zur Anonymität von Daten und ihrer Rechtsfolgen enthält. Der Begriff der 
Anonymität von Daten muss aus dem Begriff des Personenbezugs von Daten 
als dessen Gegenteil erschlossen werden. Hierzu hält die Erläuterung von per- 
sonenbezogenen Daten in Erwägungsgrund 26 Satz 5 und 6 DSGVO nur fest, 
dass anonyme Daten, „die sich nicht auf eine identifizierte oder identifizier- 
bare natürliche Person beziehen“, nicht dem Datenschutzrecht unterfallen. 
Da Art. 4 Nr. 1ı DSGVO den Begriff der personenbezogenen Daten in den we- 
sentlichen Aspekten identisch mit den Definitionen in Art. 2 lit. aDSRLund 
$ 3 Abs. ı BDSG a.F. definiert, muss diese Identität auch für anonyme Daten 
als ihr Gegenteil gelten. 


3.2.5 Ergebnis zur Anonymisierung 


Anonyme Daten sind Angaben zu einer betroffenen Person, die ihr nicht zu- 
geordnet werden können. Sie sind daher keine personenbezogenen Daten. Sie 
können von Anfang an anonym sein, aber auch aus personenbezogenen Daten 
entstehen, indem sie dadurch anonymisiert werden, dass aus ihnen alle 
potenziellen Zuordnungsmerkmale entfernt werden. 


Anonyme Daten und Anonymisierung werden in keiner Vorschrift der Daten- 
schutz-Grundverordnung genannt oder geregelt, aber in vielen Vorschriften 
als existent unterstellt und in Erwägungsgrund 26 Satz 5 und 6 DSGVO er- 
waähnt. Das aus beiden Sätzen erkennbare Verständnis entspricht dem des $ 3 
Abs. 6 BDSG a.F. 


$ 27 Abs. 3 BDSG-neu fordert eine Anonymisierung nur von besonderen Kate- 
gorien personenbezogener Daten, sobald dies nach dem Forschungszweck 
möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen 
dem entgegen. Diese Regelung verstößt insofern gegen die Datenschutz-Grund- 
verordnung, als Art. 89 Abs. ı Satz 4 DSGVO die Anonymisierung aller For- 
schungsdaten fordert und die Einschränkung wegen berechtigter Interessen 
der betroffenen Person nicht vorsieht. In beiden Fällen besteht ein Anwen- 
dungsvorrang der Verordnung. 


Die Datenschutz-Grundverordnung gibt keine Verfahren zur Anonymisierung 
vor. Vielmehr muss der Datenverarbeiter im Ergebnis die in Art. 4Nr. ıDSGVO 
niedergelegten Kriterien erfüllen, die eine Einordnung der Daten als perso- 
nenbezogen ausschließen. 
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3.3  Pseudonymisierung personenbezogener Daten 
Das folgende Kapitel beantwortet die Fragen 4.1 Satzı bis 3. Diese lauten: 


Vergleichen Sie bitte den Pseudonymisierungsbegriff aus den bisherigen Vorschriften 
des BDSG mit jenen aus der EU-Datenschutzgrundverordnung. Sind diese gleichbe- 
deutend oder ergeben sich unterschiedliche Anforderungen an den Pseudonymisie- 
rungsprozess? Gehen Sie in Bezug auf die bisherige Rechtslage bei der Nutzung pseu- 
donymer Daten auch auf das EUGH-Urteil vom 19.10.2016 (Patrick Breyer gegen Bun- 
desrepublik Deutschland, Aktz. C - 582/14) ein. 


Im Gegensatz zur Datenschutz-Richtlinie, die Pseudonymisierung gar nicht 
ausdrücklich berücksichtigt, und zum Bundesdatenschutzgesetz a.F., das 
Pseudonymisierung zwar in $ 3 Abs. 6a BDSG a.F. definiert, aber nur in $ 3a 
BDSG a.F. als eine beispielhafte Maßnahme der Datensparsamkeit erwähnt, '* 
etabliert die Datenschutz-Grundverordnung Pseudonymisierung als den 
„Kernpfeiler“ der technisch-organisatorischen Maßnahmen des Datenschut- 
zes.'85 


3.3.1 Pseudonymisierung nach der Datenschutz-Grundverordnung 


Die Datenschutz-Grundverordnung nennt in vielen Vorschriften die Pseudo- 
nymisierung als zentrales Mittel, um die Rechte und Freiheiten der betroffe- 
nen Person zu wahren und ihr ausreichende Garantien zu bieten. So ist Pseu- 
donymisierung in Art. 6 Abs. 4 lit. eDSGVO als angemessene Garantie bei der 
Bestimmung der Vereinbarkeit von Zwecken zu berücksichtigen. '* Ebenso 
wird Pseudonymisierung in Art. 25 Abs. ıDSGVO als ein Weg genannt, Priva- 
cy by Design umzusetzen. '” Art. 32 Abs. 1 lit. a DSGVO nennt Pseudonymisie- 
rung als ein Instrument technisch-organisatorischer Sicherung des Daten- 
schutzes.'® Verhaltensregeln können nach Art. 40 Abs. 2 lit. d DSGVO Anfor- 
derungen an personenbezogene Daten branchenspezifisch konkretisieren. 
Art. 89 Abs. 1Satz3 DSGVO bietet Pseudonymisierung als eine der technisch-or- 
ganisatorischen Maßnahmen an, um die von Art. 89 Abs. ı Satz ı DSGVO ge- 
forderten Garantien bei der Verarbeitung personenbezogener Daten für wis- 
senschaftliche, statistische und archivarische Zwecke zu gewährleisten. +8 


Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO folgendermaßen definiert: 


184 S. Scholz, in: Simitis, $ 3a Rn. 45ff. 

185 Marnau, DuD 2016, 428 (430); Albrecht/Jotzo 2017, Teil 3 Rn. 4: „besonderer Stellenwert der Pseudonymisie- 
rung“; Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 5 Rn. 4: „leicht gesteigerte Bedeutung“. 

186 S. z.B. Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 191. 

187 Erwägungsgrund 78 DSGVO; s. z.B. Barlag, in: Roßnagel 2017, $ 3 Rn. 225. 

188 S. z.B. Barlag, in: Roßnagel 2017, $ 3 Rn. 197. 

189 S. hierzu auch Erwägungsgrund 156 DSGVO; s. hierzu z.B. Johannes, in: Roßnagel 2017, $ 4 Rn. 63. 
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„Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, 
dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen 
nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern 
diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und 
organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personen- 
bezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person 
zugewiesen werden.“ 


Aufgrund dieser Definition in der Datenschutz-Grundverordnung haben das 
neue Bundesdatenschutzgesetz und das neue Sozialgesetzbuch auf eine eige- 
ne Definition der Pseudonymisierung verzichtet. 


Im Rahmen des Erwägungsgrunds 26 DSGVO zur Definition personenbezoge- 
ner Daten widmet sich Satz 2 der Pseudonymisierung und stellt fest: 


„Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heran- 
ziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden 
könnten, sollten als Informationen über eine identifizierbare natürliche Person be- 
trachtet werden.“ 


Die Literatur zur Datenschutz-Grundverordnung orientiert sich überwiegend 
am Wortlaut des Erwägungsgrunds und stellt ohne weitere Differenzierung 
fest, dass pseudonyme Daten personenbezogene Daten sind. 


Zwischen der Definition in Art. 4 Nr. 5 DSGVO und dem Erwägungsgrund 26 
Satz 2DSGVO besteht jedoch ein Widerspruch, den es aufzulösen gilt. Nach 
Art. 4 Nr. 5 DSGVO können die pseudonymen Daten ohne zusätzliche Infor- 
mationen nicht mehr einer spezifischen betroffenen Person zugeordnet wer- 
den. Sie sind also für den Verantwortlichen, der keinerlei Möglichkeiten hat, 
die zusätzlichen Informationen zur Kenntnis zu nehmen, entsprechend der 
Definition in Art. 4 Nr. 1 HS 2 DSGVO keine personenbezogenen Daten. Da- 
gegen sollen nach Erwägungsgrund 26 Satz 2 DSGVO genau diese Daten „als 
Informationen über eine identifizierbare natürliche Person betrachtet wer- 
den“, also als personenbezogene Daten gelten. Dieser Widerspruch kann nur 
dadurch aufgelöst werden, dass die jeweiligen Aussagen präzisiert und damit 
eingeschränkt werden. Dabeisind die allgemeinen Regeln für die Feststellung 
personenbezogener Daten zu berücksichtigen. 


Als identifizierbar wird eine natürliche Person nach Art. 4 Nr. ı HS 2 DSGVO 
angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer 
Kennung ... identifiziert werden kann“. Dabei kommt es auf das vorhandene 
und in verhältnismäßiger Weise mobilisierbare Zusatzwissen des Verantwort- 


190 S. z.B. Albrecht/Jotzo 2017, Teil 3 Rn. 4; Klabunde, in: Ehmann/Selmayr, Art. 4 Rn. 15; Gola, in: ders., Art. 4 
Rn. 39, in Widerspruch zu Art. 4 Rn. 19f.; Laue/Nink/Kremer 2016, $ 1 Rn. 26, in Widerspruch zu $ 1 Rn. 29f. 
191 Ein Problem sehen Klar/Kühling, in: Kühling/Buchner, Art. 4 Nr. 5 Rn. 12, ohne jedoch eine Lösung anzubieten. 
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lichen oder Auftragsverarbeiters an. Dieses Zusatzwissen kann auch bei Drit- 
ten vorhanden sein, wenn der Datenverarbeiter eine praktisch realisierbare 
Möglichkeit hat, dieses zur Kenntnis zu nehmen.» Dies muss auch für pseu- 
donyme Daten gelten. Wenn es praktisch ausgeschlossen ist, dass der Daten- 
verarbeiter die Zuordnungsregel für die pseudonymen Daten erlangen kann, 
dann können die Daten entsprechend der Definition des Art. 4 Nr. 5 DSGVO 
vonihm „nicht mehr einer spezifischen betroffenen Person zugeordnet wer- 
den“. 94 


Da dies der Definition in Art. 4 Nr. 5DSGVO widersprechen würde, kann Satz 2 
des Erwägungsgrunds 26 DSGVO nicht absolut verstanden werden. Vielmehr 
ist dieser Satz so zu verstehen, dass die „einer Pseudonymisierung unterzoge- 
ne(n) personenbezogene(n) Daten“ dann „als Informationen über eine identi- 
fizierbare natürliche Person betrachtet werden“ sollen, wenn sie „durch Her- 
anziehung zusätzlicher Informationen einer natürlichen Person zugeordnet 
werden könnten“. Dies ist dann der Fall, wenn der Datenverarbeiter irgend- 
eine realistische Möglichkeit hat, die Zuordnungsregel für die pseudonymen 
Daten zu erlangen (oder auf andere Weise zuordnen kann). Dies ist immer 
dann der Fall, wenn die Zuordnungsregel beim Verantwortlichen oder Auf- 
tragsverarbeiter verbleibt (interne Pseudonymisierung). Dies gilt auch, wenn 
die Datenverarbeitung und die Aufbewahrung der Zuordnungsregel innerhalb 
des Verantwortlichen organisatorisch - etwa in unterschiedlichen Abteilun- 
gen - getrennt sind. Dies gilt schließlich auch dann, wenn zwar ein Dritter 
die Zuordnungsregel aufbewahrt, aber nicht sichergestellt ist, dass der Daten- 
verarbeiter sie nicht erfahren kann. 


Somit ist Erwägungsgrund 26 Satz 2 DSGVO mit der Definition in Art. 4Nr. 5 
DSGVO vereinbar, wenn in Satz 2 der Relativsatz als Bedingung verstanden 
wird. Umgekehrt ist Art. 4 Nr. 5 DSGVO mit Erwägungsgrund 26 Satz 2 DSGVO 
vereinbar, wenn durch die in Nr. 5 genannten Maßnahmen im Ergebnis si- 
chergestellt ist, dass die pseudonymen Daten durch den Datenverarbeiter 
„nicht einer identifizierten oder identifizierbaren natürlichen Person zuge- 
wiesen werden“ können. 


Nach diesem Verständnis von Definition und Erwägungsgrund gibt es somit 
zwei Arten von pseudonymen Daten mit unterschiedlichen Voraussetzungen 
und unterschiedlichen Rechtsfolgen. 


Die erste Art pseudonymer Daten bewirkt, dass für den Verantwortlichen die 
Zuordnung der Daten zu einer bestimmten Person ausgeschlossen ist. Diese 
pseudonymen Daten sind vom Ergebnis her zu bestimmen. Sie sind, weileine 


192 S. Kap. 3.1.5.6 und 3.1.5.7. 

193 S. näher Kap. 3.1.5.6 und 3.1.5.7. 

194 Im Ergebnis ebenso EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 49 - Breyer; Gola, in: ders., 
Art. 4 Rn. 19f.; Ziebarth, in: Sydow, Art. 4 Rn. 91, 97. 

195 So aber z.B. Klabunde, in: Ehmann/Selmayr, Art. 4 Rn. 15. 
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Identifizierung der betroffenen Person durch sie ausgeschlossen ist, ent- 
sprechend der Definition in Art. 4 Nr. 1 DSGVO keine personenbezogenen 
Daten.” Insbesondere für den Gesundheitsbereich hat die Art. 29-Daten- 
schutzgruppe festgestellt, dass pseudonyme Daten, wenn der Verantwortliche 
die Zuordnungsregel nicht kennen kann, keine personenbezogenen Daten 
sind.’ Werden z.B. im Rahmen eines Forschungsprojekts mögliche Identi- 
fizierungsmerkmale ausreichend sicher von den erhobenen Nutzdaten ge- 
trennt und durch ein Pseudonym ersetzt und wird die Zuordnungsregel einer 
anderen unabhängigen Stelle übergeben (z.B. Notar), der sie den Forschenden 
nicht zugänglich machen darf, sind die Nutzdaten für die Forschenden ano- 
nym. Dies dürfte für die Nachnutzung der pseudonymen Nutzdaten durch 
andere Forscher aus einer anderen Forschungseinrichtung vielfach der Fall 
sein. 


Die zweite Art pseudonymer Daten bewirkt, dass die Risiken der Datenver- 
arbeitung für die betroffene Person vermindert werden. Diese risikoredu- 
zierende Wirkung erreichen sie dadurch, dass im Verarbeitungsprozess die zu 
verarbeitenden Daten und das Zusatzwissen, das die Identifizierung der be- 
troffenen Person ermöglicht, sicher getrennt sind. Diese Sicherungen errei- 
chen jedoch nicht das Niveau, dass eine Zuordnung der Daten durch den 
Datenverarbeiter ausreichend verlässlich ausgeschlossen ist. Diese zweite Art 
pseudonymer Daten sind für den Verarbeiter personenbezogen und unterfallen 
der Datenschutz-Grundverordnung.” Mit dieser zweiten, risikomindernden 
Art pseudonymer Daten würden z.B. Forschende arbeiten, diezwarin der Re- 
gelnur das Pseudonym kennen, aber in einem Ausnahmefall bei dem Inhaber 
der Zuordnungsregel die Aufhebung der Pseudonymität fordern können, um 
Inkonsistenzen oder Unplausibilitäten aufzulösen. Für sie wären die Nutz- 
daten nicht anonym, sondern personenbezogen. 


Diese Unterscheidung kennen auch die Definitionen des $3 Abs. 6a BDSG a.F. 
und 5 67 Abs. 8a SGB X a.F., wenn sie Pseudonymisieren definieren als „das 
Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kenn- 
zeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder 
wesentlich zu erschweren“. „Die Bestimmung des Betroffenen auszuschlie- 
ßen“, entspricht der anonymisierenden Wirkung der Pseudonymisierung für 
den Verantwortlichen, der die Zuordnungsregel nicht kennen kann. „Die 


196 S. zu den Anforderungen an diese Art der Pseudonymisierung Kap. 3.3.3. 

197 S. EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 47-49 - Breyer; Ziebarth, in: Sydow, Art. 4 
Rn. 25, 91, 98; Ziebarth, CR 2015; 687 (691); Laue/Nink/Kremer, $ 1 Rn. 29f.; Knopp, DuD 2015, 527 (528); 
Kroschwald 2015, 74; Buchner, in: Taeger/Gabel, $ 3 Rn. 47f.; Scholz, in: Simitis, $ 3 Rn. 217a; Gola/Schomerus, 
§ 3 Rn. 46; Tinnefeld, in: Roßnagel 2003, Kap. 4.1 Rn. 30; grundsätzlich Roßnagel/Scholz, MMR 2000, 721 
(724f.); Roßnagel/Pfitzmann/Garstka 2002, 103; Stiemerling/Hartung, CR 2012, 60 (63). Unklar Karg, DuD 2015, 
520 (524): „wirkt ... anonym, ohne es ggfs. rechtlich zu sein“; a.A. z.B. Schaar 2002, 74. 

198 Art. 29-Datenschutzuppe, WP 136, 20. 

199 S. hierzu auch Gola, in: ders., Art. 4 Rn. 41. 

200 S. zu den Anforderungen an diese Art der Pseudonymisierung Kap. 3.3.3. 
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Bestimmung des Betroffenen zu erschweren“, entspricht der zweiten, der ri- 
sikomindernden Art pseudonymer Daten. Diese pseudonymen Daten sind aber 
weiterhin personenbezogene Daten.” 


Zwar unterscheidet sich der Wortlaut?” der Definition von Pseudonymisierung 
in Art. 4 Nr. 5 DSGVO, die lautet 


„Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, 
dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen 
nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern 
diese zusätzlichen Informationen gesondert aufbewahrt werden undtechnischen und 
organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personen- 
bezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person 
zugewiesen werden“, 


vom Wortlaut der Definition in $ 3 Abs. 6a BDSG a.F., die deutlich kürzer ge- 
fasst ist als 


„Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerk- 
male durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszu- 
schließen oder wesentlich zu erschweren.“ 


Bezogen auf die Nutzdaten fordern beide Definitionen, dass diese nach der 
Pseudonymisierung nicht mehr ohne die Zuordnungsregel einer spezifischen 
betroffenen Person zugeordnet werden können. Nach beiden Definitionen 
muss dadurch der Personenbezug der Nutzdaten ausgeschlossen sein. Im 
Gegensatz zu Art. 4 Nr. ıDSGVO differenziert $ 3 Abs. 6a BDSG a.F. diese Fol- 
ge dahingehend, dass die Bestimmung des Betroffenen ausgeschlossen oder 
wesentlich erschwert sein kann. Diese zweite Alternative entsteht für die 
Datenschutz-Grundverordnung aber ebenfalls, wenn der Widerspruch zwi- 
schen Art. 4 Nr. ı DSGVO und Erwägungsgrund 26 Satz 2 DSGVO durch ein 
Nebeneinander zweier möglicher Folgen aufgelöst wird.» In dieser Interpre- 
tation sind die Anforderungen an die Nutzdaten in beiden Definitionen iden- 
tisch. %4 


Bezogen auf die Zuordnungsregel geht Art. 4 Nr. ı DSGVO jedoch über die De- 
finition in $ 3 Abs. 6a BDSG hinaus. Während das Bundesdatenschutzgesetz 
a.F. den Umgang mit der Zuordnungsregel nur implizit durch die beiden Fol- 
gen regelt, nach denen die Zuordnung ausschließt oder erschwert, stellt die 
Datenschutz-Grundverordnung explizite Forderungen: Sie muss gesondert 
aufbewahrt werden und technischen und organisatorischen Maßnahmen 


201 S. hierzu auch Tinnefeld, in: Roßnagel 2003, Kap. 4.1 Rn. 30; Knopp, DuD 2015, 527 (528). 

202 Zum Vergleich des Wortlauts des Art. 4 Nr. 5 und $ 3a BDSG a.F. und $ 67 Abs. 8a SGB X a.F. s. auch Kap. 3.3.4. 
203 S. hierzu oben. 

204 So z.B. auch Gola, in: Gola, Art. 4 Rn. 36. 
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unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer 
identifizierten oder identifizierbaren natürlichen Person zugewiesen werden 
können. Diese Forderung gilt für beide möglichen Folgen gleichermaßen - 
können sich aber danach unterscheiden, dass sie den Personenbezug der Nutz- 
daten ausschließen oder erschweren. Insofern enthält die Definition in Art. 4 
Nr. ı präzisiere Vorgaben als die Definition in $ 3 Abs. 6a BDSG a.F., ist aber 
auch wie diese am Erfolg orientiert. 


Für den Inhaber der Zuordnungsregel sind beide Arten pseudonymer Daten 
personenbezogen. Dies ist der entscheidende Unterschied zur Anonymisie- 
rung. Während eine wirksame Anonymisierung die Identifizierung der be- 
troffenen Person auch für denjenigen ausschließt, der sie durchführt, behält 
derjenige, der eine Pseudonymisierung durchführt, zusätzliche Informatio- 
nen (Zuordnungsregel), die ihm ermöglichen ein Pseudonym einer betroffe- 
nen Person zuzuordnen. ?° 


Diese zweite Art risikomindernder pseudonymer Daten wird von Erwägungs- 
grund 28 DSGVO angesprochen: 


„Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Ri- 
siken für die betroffenen Personen senken und die Verantwortlichen und die Auftrags- 
verarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die 
ausdrückliche Einführung der ‚Pseudonymisierung‘ in dieser Verordnung ist nicht be- 
absichtigt, andere Datenschutzmaßnahmen auszuschließen.“ 


Für die erste Art der Pseudonymisierung besteht der Anreiz darin, dass der 
Datenverarbeiter, der die Zuordnungsregel nicht kennen kann, keine perso- 
nenbezogenen Daten verarbeitet und damit aus dem Anwendungsbereich der 
Datenschutz-Grundverordnung herausfällt. Die Anreize für die zweite Art der 
Pseudonymisierung, die nur risikomindernd, aber nicht anonymisierend 
wirkt, sind Thema des Erwägungsgrunds 29 DSGVO: 


„Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung perso- 
nenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, diejedoch 
eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn 
dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen 
hat, um - für die jeweilige Verarbeitung - die Umsetzung dieser Verordnung zu ge- 
währleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die 
personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden kön- 
nen, gesondert aufbewahrt werden. Der für die Verarbeitung der personenbezogenen 
Daten Verantwortliche, sollte die befugten Personen bei diesem Verantwortlichen 
angeben.“ 


205 S. hierzu Roßnagel/Scholz, MMR 2000, 721ff. 
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Für die Pseudonymisierung der zweiten Art liegt der Anreiz für den Verant- 
wortlichen in der Erleichterung der Datenverarbeitung. Mit der Verwendung 
pseudonymer Daten kann er 


= eher eine für sich günstige Interessenabwägung nach Art. 6 Abs. ı 
UAbs. ı lit. f DSGVO durchführen, 

= eher eine mit dem Primärzweck vereinbare Weiterverarbeitung nach 
Art. 6 Abs. 4 DSGVO annehmen, 

= seiner Pflicht zu einer datenschutzfreundlichen Systemgestaltung nach 
Art. 25 Abs. ı DSGVO genügen, 

= sich seine Aufgabe der Datensicherung nach Art. 32 Abs. ı DSGVO er- 
leichtern, 

= allgemein seiner Verantwortung nach Art. 5 Abs. 2 und 24 DSGVO ge- 
recht werden, 

= sich Benachrichtigungen bei Datenschutzverletzungen gemäß Art. 34 
Abs. 3 lit. aDSGVO ersparen, 

= leichter eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO be- 
stehen und 

= seiner Pflicht, ausreichende Garantieren für eine Datenverarbeitung für 
statistische, wissenschaftliche und archivarische Zwecke nach Art. 89 
Abs. ı Satzı und 3 DSGVO zu bieten, genügen. 


Wie Erwägungsgrund 29 Satz ı DSGVO ausdrücklich festhält, sollten durch 
risikomindernde Pseudonymisierung - gemäß Art. 6 Abs. ı UAbs. ı lit. fund 
Abs. 4 DSGVO - mit den pseudonymen Daten allgemeine Analysen bei dem- 
selben Verantwortlichen zulässig sein, wenn dieser die erforderlichen techni- 
schen und organisatorischen Maßnahmen nach Art. 4Nr. 5 DSGVO getroffen 
hat. Dadurch sollen statistische Untersuchungen und ähnliche Maßnahmen 
in Unternehmen, Unternehmensgruppen°® und Behörden, insbesondere aber 
auch in der Forschung möglich sein, obwohl es sich bei diesen pseudonymen 
Daten um personenbezogene Daten entsprechend Erwägungsgrund 26 Satz 2 
DSGVO handelt. Die Pseudonymisierung kann der Verantwortliche in diesem 
Fall selbst vornehmen. ?” 


3.3.2 Bewertung der Pseudonymisierung durch den Europäischen Gerichtshof 


Das Urteil des Europäischen Gerichtshofs vom 19. Oktober 2016°% befasst sich 
zwar nicht ausdrücklich mit dem Thema der Pseudonymisierung, sondern mit 
der Frage des Personenbezugs von IP-Adressen, wenn ein Dritter über die rele- 
vanten Zusatzinformationen verfügt. Genau diese Konstellation kann aber auch 
bei pseudonymen Daten vorliegen. Von manchen werden IP-Adressen auch als 


206 S. Laue/Nink/Kremer 2016, $ 1 Rn. 31. 
207 S. z.B. Albrecht/Jotzo 2017, Teil 3 Rn. 4 
208 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Breyer. 
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pseudonyme Daten angesehen. Insofern können aus dem Urteil Schlussfolge- 
rungen abgeleitet werden, wenn es um die Frage geht, ob die pseudonymen 
Daten für einen Verantwortlichen personenbezogen sind, wenn die Zuord- 
nungsregel ihm unbekannt ist, aber bei einem Dritten liegt. Diese Frage be- 
zieht sich nur auf die erste Art pseudonymer Daten, die die Wirkung anonymer 
Daten haben können. Folgende Erkenntnisse aus dem Urteil sind übertragbar: 


Der Europäische Gerichtshof geht zwar von einem relativen Personenbezug 
aus. IP-Adressen stellen isoliert betrachtet kein personenbezogenes Datum 
dar.” Das muss auch für pseudonymisierte Daten gelten. Er hat aber festge- 
stellt, dass nicht allein auf das Zusatzwissen des Verantwortlichen abzustellen 
ist, sondern dass unter bestimmten Bedingungen auch das Zusatzwissen eines 
Dritten relevant sein kann.” Dieses Zusatzwissen Dritter ist dem Verantwort- 
lichen dann zurechenbar, wenn das Zusatzwissen des Dritten „ein Mittel dar- 
stellt, das vernünftigerweise zur Bestimmung der betreffenden Person ein- 
gesetzt werden kann“. ”" Der Gerichtshof nennt zwei Gründe, nach denen dies 
nicht der Fall ist. Erstens ist die Berücksichtigung des Zusatzwissens Dritter 
dann ausgeschlossen, „wenn die Identifizierung der betreffenden Person ge- 
setzlich verboten“ ist. Zweitens bleibt das Zusatzwissen Dritter unberücksich- 
tigt, wenn die Identifizierung „praktisch nicht durchführbar“ ist, „z.B. weil 
sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften“ 
erfordert, sodass das Risiko einer Identifizierung de facto vernachlässigbar“ 
ist.” Dabei sind auch mögliche Umwege, auf denen das Zusatzwissen zum 
Verantwortlichen gelangen kann, zu berücksichtigen. Auch wenn es nicht 
erlaubt ist, die Daten direkt zu übermitteln, kann es - wie im zu entscheiden- 
den Fall - möglich sein, das Zusatzwissen über Akteneinsicht bei einer zustän- 
digen Behörde zu erlangen.” In diesem Fall verfügt der Verantwortliche über 
vernünftigerweise einsetzbare rechtliche Mittel. %4 


Der Europäische Gerichtshof stellt letztlich auf das Risiko der Identifizierung 
ab. Dies entfällt, wenn die Preisgabe des Zusatzwissens und die Identifizie- 
rung der betroffenen Person „gesetzlich verboten“ ist. Der Gerichtshof muss- 
tein dem zu entscheidenden Fall nicht darüber entscheiden, wie wahrschein- 
lich die Verwendung nur rechtswidrig zu erlangender Zusatzinformationen 
sein muss. So bleibt nach dem Urteil offen, ob die Risikoprognose auch den 
Anreiz rechtswidrigen Verhaltens, die Leichtigkeit der Grenzübertretung und 
Anhaltspunkte für die Gefahr eines nicht rechtskonformen Zugriffs auf das 
Zusatzwissen berücksichtigen muss. 5 


209 S. Moos/Rothkegel, MMR 2016, 845 (846). 

210 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 43, Breyer. 
211 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 44, Breyer. 
212 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 46, Breyer. 
213 S. hierzu ausführlich Moos/Rothkegel, MMR 2016, 845 (846). 

214 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Rn. 47-49, Breyer. 
215 Dafür wohl Kühling/Klar, ZD 2017, 28. 


BD 


PR e 


181 


II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


3.3.3 Anforderungen an den Pseudonymisierungsprozess 


Die Datenschutz-Grundverordnung gibt keine Verfahren zur Pseudonymisie- 
rung vor. Sie erkennt jedoch die verwendeten Verfahren nur dann als Pseud- 
onymisierung nach Art. 4 Nr. 5 DSGVO an, wenn sie zwei Voraussetzungen 
erfüllen. Sie müssen erstens die Daten so verarbeiten, dass sie „ohne Hinzu- 
ziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen 
Person zugeordnet werden können“. Zweitens müssen die „zusätzlichen In- 
formationen gesondert aufbewahrt werden und technischen und organisato- 
rischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezo- 
genen Daten nicht einer identifizierten oder identifizierbaren natürlichen 
Person zugewiesen werden“. 


Allerdings fordert die Datenschutz-Grundverordnung - jedoch nicht ausdrück- 
lich - ein bestimmtes Maß an Qualität der Pseudonymisierung.”° Solche Qua- 
litätsanforderungen ergeben sich aber indirekt durch die Einordnung der pseu- 
donymen Daten in den Begriff der personenbezogenen Daten.’ Je nach in- 
tendiertem Charakter der pseudonymen Daten sind unterschiedliche Anfor- 
derungen an den Pseudonymisierungsprozess zu stellen: 


Sollen die pseudonymen Daten der ersten Art unterfallen und für den sie nut- 
zenden Verantwortlichen die Eigenschaft anonymer Daten haben, dürfen sie 
im Ergebnis keine personenbezogenen Daten sein. Sie müssen also ausschlie- 
ßen, dass der Verantwortliche durch sie bestimmte natürliche Personen iden- 
tifizieren kann. Hierfür gelten die gleichen Anforderungen wie für die Ano- 
nymisierung.” Ob ein Personenbezug ausgeschlossen ist, richtet sich nicht 
nach der Einhaltung eines bestimmten Verfahrens. Auch die gesonderte und 
gesicherte Aufbewahrung der „zusätzlichen Informationen“ garantiert keine 
Anonymität. Vielmehr muss eine Identifizierbarkeit der betroffenen Person 
mit den verfügbaren Mitteln nach allgemeinem Ermessen ausgeschlossen 
sein. 


Um ausreichend sicherzugehen, dass eine Identifizierung der betroffenen 
Person ausgeschlossen ist, muss neben einem guten Verfahren zum Ersetzen 
der identifizierenden Merkmale?» auch die besondere Schwachstelle, das Vor- 
handensein zusätzlicher identifizierender Informationen, ausreichend abge- 
sichert werden. 


Die Wiederherstellbarkeit des Personenbezugs führt daher zu einem fortdau- 
ernden Schutzbedarf der betroffenen Person. Es muss dauerhaft sichergestellt 
sein, dass nur der berechtigte Inhaber der Zuordnungsregel über diese verfü- 


216 Marnau, DuD 2016, 428 (430). 

217 S. hierzu Roßnagel/Scholz, MMR 2000, 721 (723f.). 

218 S. Kap. 3.2.3. 

219 Art. 29-Datenschutzgruppe, Stellungnahme 5/2014, WP 216, 13ff. 


182 


3 Personenbezogene Daten 


gen kann und alle anderen sicher davon ausgeschlossen sind.”° Dies kann zum 
einen dadurch gewährleistet werden, dass die Pseudonymisierung von einem 
vertrauenswürdigen unabhängigen Dritten durchgeführt wird, der auch die 
Zuordnungsregel aufbewahrt. Dieser muss ausreichende Garantien dafür bie- 
ten, dass er die Zuordnungsregel keinem anderen zur Kenntnis kommen lässt. 
Hier können die Kriterien des Europäischen Gerichtshofs für die Bestimmung 
personenbezogener Daten unter Zurechnung des Wissens Dritter’ in umge- 
kehrter Weise zur Anwendung kommen. Für den Verantwortlichen darf es 
keinen rechtlich möglichen Weg geben, die Zuordnungsregel zu erfahren, und 
auch keinen anderen praktisch gangbaren Weg, mit verhältnismäßigem Auf- 
wand an Zeit, Kosten und Arbeitskräften an die Zuordnungsregel zu gelangen. 


Um besonders sicherzugehen, dass die pseudonymen Daten nur in den weni- 
gen vorgesehenen Fällen (z.B. bei der medizinischen Forschung Kontakt mit 
der betroffenen Person in deren Interesse) zugeordnet werden können, kann 
eine mehrfache Pseudonymisierung erfolgen. Werden z.B. Daten in einem 
Krankenhaus gewonnen, kann dieses die erste Pseudonymisierung vorneh- 
men, bevor die pseudonymen Daten an ein Forschungsprojekt weitergegeben 
werden. Dort kann dann ein Treuhänder die pseudonymen Daten ein zweites 
Mal pseudonymisieren und die Zuordnungsregel aufbewahren. Das For- 
schungsprojekt arbeitet dann mit faktisch anonymen Daten, da es selbst kei- 
ne Möglichkeit hat, die betroffene Person zu identifizieren. Das Pseudonym 
kann nur aufgedeckt werden (und die betroffene Person kontaktiert werden), 
wenn zwei Stellen zusammenarbeiten, nämlich der Treuhänder und das Kran- 
kenhaus. Sollen die Daten aus dem Forschungsprojekt weitergegeben werden, 
empfiehlt sich eine dritte Pseudonymisierung durch das Forschungsprojekt.?” 


Sollen die pseudonymen Daten für den sie nutzenden Verantwortlichen die 
Eigenschaft von risikomindernden zusätzlichen Garantien für betroffene Per- 
sonen haben, bleiben sie personenbezogene Daten. Sie sind allerdings in be- 
sonderer Weise gesichert, sodass von ihnen ein erheblich geringeres Risiko für 
die betroffenen Personen ausgeht als von sonstigen personenbezogene Daten. 
Für diese zweite Art pseudonymer Daten genügt ein Pseudonymisierungsver- 
fahren, das die Anforderungen der gesonderten und gesicherten Aufbewahrung 
der „zusätzlichen Informationen“ gemäß Art. 4 Nr. 5 DSGVO erfüllt. Für diese 
Art pseudonymer Daten ist keine Pseudonymisierung durch einen Dritten not- 
wendig. Nach Erwägungsgrund 29 DSGVO ist für sie sogar eine interne Pseud- 
onymisierung möglich, wenn der Verantwortliche „die erforderlichen techni- 
schen und organisatorischen Maßnahmen getroffen hat, um - für die jeweili- 
ge Verarbeitung - die Umsetzung dieser Verordnung zu gewährleisten“. Hierfür 
hat er „sicherzustellen ..., dass zusätzliche Informationen, mit denen die 


220 Knopp, DuD 2015, 527 (529). 
221 S. Kap. 3.3.2. 
222 S. hierzu Herbst, DuD 2016, 371 (375). 
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personenbezogenen Daten einer speziellen betroffenen Person zugeordnet wer- 
den können, gesondert aufbewahrt werden“. In diesem Fall hat der Verantwort- 
liche die bei ihm für die gesonderte Aufbewahrung „befugten Personen“ anzu- 
geben. Diese Personen sind in die Dokumentation nach Art. 30 DSGVO aufzu- 
nehmen. Die Sicherungsmaßnahmen für die gesondert aufbewahrte Zuord- 
nungsregel müssen den Vorgaben des Art. 32 DSGVO entsprechen. Diese 
müssen sicherstellen, dass der Verantwortliche, der die pseudonymen Daten 
nutzt, keinen Zugang zu der Zuordnungsregel hat. 


3.3.4 Vergleich mit der Rechtslage nach der Datenschutz-Richtlinie und 
dem geltenden Bundesdatenschutzgesetz 


Der Begriff „Pseudonymisieren“ wurde erst im Jahr 2001 im Bundesdaten- 
schutzgesetz und im Sozialgesetzbuch X legaldefiniert. Nach $ 3 Abs. 6a BDSG 
a.F. und 5 67 Abs. 8a SGB X a.F. ist Pseudonymisieren „das Ersetzen des Na- 
mens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem 
Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu 
erschweren“. 23 Obwohl Art. 4 Nr. 5 DSGVO einen anderen Wortlaut hat, ent- 
hält er keine andere inhaltliche Aussage als $ 3 Abs. 6a BDSG a.F. und $ 67 
Abs. 8a SGB X a. F. %4 


Wie für Art. 4 Nr. 5 und Erwägungsgrund 26 Satz 2 DSGVO analysiert, kennen 
auch die Definitionen des $ 3 Abs. 6a BDSG a.F. und s 67 Abs. 8a SGB X a.F. 
zwei Arten von pseudonymen Daten, nämlich solche, die in der Lage sind, 
„die Bestimmung des Betroffenen auszuschließen“, und solche, die die Iden- 
tifizierung wesentlich erschweren sollen. Dementsprechend ist auch für das 
Bundesdatenschutzgesetz und für das Sozialdatenschutzrecht anerkannt, dass 
es pseudonyme Daten geben kann, die für den Verantwortlichen, derihre Auf- 
deckungsregel nicht kennen kann, anonyme Daten sein können, 5 und dass 
es pseudonyme Daten gibt, die personenbezogene Daten sind, weil sie die 
Identifikation des Betroffenen nur erschweren, aber nicht ausschließen. Wie 
für Art. 4 Nr. 5 DSGVO gibt es auch Gegenmeinungen, die dem Konzept einer 
absoluten Bestimmung personenbezogener Daten anhängen. 


Die Anforderung der gesicherten und getrennten Aufbewahrung der Zuord- 
nungsregel, die in Art. 4 Nr. 5 DSGVO ausdrücklich aufgenommen ist, ist auch 
für ş 3 Abs. 6a BDSG a.F. und $ 67 Abs. 8a SGB X a.F. eine ungeschriebene, aber 
notwendige Voraussetzung, um von Pseudonymisieren und pseudonymen 
Daten reden zu können.” 


223 Zum Vergleich des Wortlauts des Art. 4 Nr. 5 und $ 3a BDSG a.F. s. auch Kap. 3.3.1. 

224 S. Kap. 3.3.1 sowie aus der Literatur z.B. Gola, in: ders., Art. 4 Rn. 36. 

225 Scholz, in: Simitis, $ 3 BDSG, Rn. 217a ff.; Roßnagel/Scholz, MMR 2000, 721 (724); Stiemerling/Hartung, 
CR 2012, 60 (63); Kroschwald 2015, 74. 

226 S. z.B. Schaar 2002, 74, Rn. 218; Pahlen-Brandt, DuD 2008, 34 (35). 

227 Roßnagel/Scholz, MMR 2000, 721 (724); Scholz, in: Simitis, $ 3 BDSG, Rn. 217a ff. 
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Das Urteil des Europäischen Gerichtshofs vom 19. Oktober 2016” hat der ab- 
soluten Bestimmung des Personenbezugs eine klare Absage erteilt und im 
Rahmen des Konzepts eines relativen Personenbezugs Fragen zur Zuordnung 
von Zusatzwissen bei Dritten geklärt. Diese von ihm gegebenen Feststellungen 
gelten für die Datenschutz-Richtlinieund damit auch für ş 3 Abs. 6aBDSGa.F. 
und $ 67 Abs. 8a SGB Xa.F. Sie entsprechen der von der herrschenden Meinung 
vertretenen Auffassung. Diese Feststellungen sind auch auf Pseudonyme nach 
Art. 4 Nr. 5 DSGVO übertragbar.» 


Im Ergebnis ändert sich durch den Geltungsbeginn der Datenschutz-Grund- 
verordnung ab dem 25. Mai 2018 für den Begriff, die Funktion und die Rechts- 
wirkungen der Pseudonymisierung nichts Wesentliches. 


3.3.5 Ergebnis zur Pseudonymisierung 


Pseudonymisierung wird -im Gegensatz zur Anonymisierung definiert- und 
zwar in Art. 4 Nr. 5 DSGVO. Trotz eines unterschiedlichen Wortlauts ist der 
Begriff in Art. 4 Nr. 5 DSGVO mit dem in $ 3 Abs. 6a BDSG a.F. identisch. Im 
Unterschied zur Anonymisierung gibt es bei der Pseudonymisierung eine Stel- 
le, die eine Re-Identifizierung vornehmen kann. Daher ist zwischen dem In- 
haber der Zuordnungsregel und allen anderen, die die Zuordnungsregel nicht 
kennen, zu unterscheiden. 


Von der Rechtsfolge her können in beiden Vorschriften zwei Arten von pseu- 
donymen Daten unterschieden werden, jenachdem, ob sie die Zuordnung zu 
einer bestimmten Person für alle, die dieZuordnungsregel nicht kennen, aus- 
schließen oder nur erschweren. Im ersten Fall sind pseudonyme Daten für den 
Verantwortlichen keine personenbezogenen Daten, im zweiten Fall bleiben 
sie es. Nicht personenbezogen sind pseudonyme Daten nach dem Urteil des 
Europäischen Gerichtshofs vom 19. Oktober 2016, wenn die Identifizierung 
der betroffenen Person gesetzlich verboten ist oder wenn die Identifizierung 
„praktisch nicht durchführbar“ ist, „z.B. weilsie einen unverhältnismäßigen 
Aufwand an Zeit, Kosten und Arbeitskräften“ erfordert, sodass „das Risiko 
einer Identifizierung de facto vernachlässigbar“ ist. Für den Kenner der Zu- 
ordnungsregel sind die Daten immer personenbezogen. 


Die Datenschutz-Grundverordnung gibt keine spezifischen Verfahren zur 
Pseudonymisierung vor. Sie erkennt jedoch die verwendeten Verfahren nur 
dann als Pseudonymisierung nach Art. 4 Nr. 5 DSGVO an, wenn sie zwei Vor- 
aussetzungen erfüllen. Sie müssen erstens die Daten so verarbeiten, dass sie 
„ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifi- 
schen betroffenen Person zugeordnet werden können“. Zweitens müssen die 


228 EuGH, Urteil vom 19.10.2016, C-582/14, ECLI:EU:C:2016:779 - Breyer. 
229 S. hierzu Kap. 3.3.2. 
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„zusätzlichen Informationen gesondert aufbewahrt werden und technischen 
und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die 
personenbezogenen Daten nicht einer identifizierten oder identifizierbaren 
natürlichen Person zugewiesen werden“. 


3.4 Löschung durch Anonymisierung? 
Das folgende Kapitel beantwortet die Frage 4.4. Diese lautet: 


Kann eine wirksame Anonymisierung von Daten als Umsetzung der Löschpflicht nach 
Art. 17 Abs. ı EU-DSGVO angesehen werden? Gehen Sie bitte auch darauf ein, ob eine 
wirksame Anonymisierung ausreichendist, wenn die Löschung im Rahmen einer Ein- 
willigung vereinbart wurde. 


Art. 17 Abs. ı DSGVO sieht in sechs Fällen ein Recht und eine Pflicht zur Lö- 
schung vor. Um die Daten weiterhin nutzen zu können, stellt sich die Frage, 
ob in diesen sechs Fällen eine wirksame Anonymisierung von Daten als Um- 
setzung der Löschpflicht nach Art. 17 Abs. 1 DSGVO angesehen werden kann. 


Für die Beantwortung der Frage ist jedoch immer zu beachten, dass eine Lö- 
schung personenbezogene Daten voraussetztund keine Löschung erforderlich 
ist und eingefordert werden kann, wenn die Daten anonymisiert sind.° 


3.4.1 Löschung nach der Datenschutz-Grundverordnung 
Nach Art. 17 Abs. ı DSGVO hat 


„die betroffene Person ... das Recht, von dem Verantwortlichen zu verlangen, dass sie 
betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verant- 
wortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern 
einer der folgenden Gründe zutrifft: 


a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sons- 
tige Weise verarbeitet wurden, nicht mehr notwendig. 


b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung ge- 
mäß Artikel 6 Absatz ı Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und 
es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. 


c) Die betroffene Person legt gemäß Artikel zı Absatz ı Widerspruch gegen die Ver- 
arbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbei- 
tung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen 
die Verarbeitung ein. 


230 S. hierzu genauer Kap. 3.4.3. 
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d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. 


e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Ver- 
pflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, 
dem der Verantwortliche unterliegt. 


f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Infor- 
mationsgesellschaft gemäß Artikel 8 Absatz ı erhoben.“ 


Der Begriff des Löschens ist in der Datenschutz-Grundverordnung im Gegen- 
satz zu $ 3 Abs. 4 Nr. 5 BDSG a.F. und $ 67 Abs. 6 Nr. 5 SGB X a.F. nicht defi- 
niert. Er ist in Art. 4 Nr. 2 DSGVO nur als eine Form der Datenverarbeitung 
erwähnt. 


Aus der funktionalen Verwendung des Begriffs „Löschen“ in Art. 17 Abs. ı 
DSGVO und aus dem Wortsinn ist abzuleiten, dass „Löschen“ eine Handlungs- 
form beschreibt, die dazu dient, dass Daten nicht mehr verwendet werden 
können. Dem entsprechend ist „Löschen“ in $ 3 Abs. 4 Nr. 5 als „das Un- 
kenntlichmachen gespeicherter personenbezogener Daten“ definiert. In 
diesem Sinn ist „Löschen“ auch in Art. 4 Nr. ı DSGVO zu verstehen. 3 Löschen 
ist nur auf einem elektronischen Datenträger möglich. »+ Das Löschen kann 
auf unterschiedliche Weise erfolgen. Entscheidend ist, dass es unmöglich ist, 
die zuvor in den zu löschenden Daten erfassten Informationen wahrzuneh- 
men.» Unzureichend ist das schlichte Entfernen eines Verweises auf be- 
stimmte Daten in einem Register oder das Überschreiben der Daten in einer 
Datei.2° Notwendig ist, dass die Daten nach dem „Löschen“ nicht wiederher- 
gestellt und in irgendeiner sinnvollen Weise verwendet werden können.” Das 
Löschen ist auf allen Datenträgern des Verantwortlichen vorzunehmen und 
muss auch alle Sicherungskopien erfassen.» Eine „Vernichtung“ der Daten 
ist nicht gefordert. Diese Handlungsform ist neben dem Löschen in Art. 4 Nr. 2 
DSGVO eigens erwähnt. Unter Vernichten istim Unterschied zum Löschen die 
physische Beseitigung der Daten zu verstehen. Dies wäre etwa durch Zer- 
stören der Datenträger möglich, wenn man sicher sein kann, dass die Daten 
nur auf den zerstörten Datenträgern gespeichert waren. 


231 S. Herbst, in: Kühling/Buchner, Art. 4 Rn. 36; Reimer, in: Sydow, Art. 4 Rn. 75: das Datum soll „nicht mehr aus- 
gelesen“ werden können. 

232 Dammann, in: Simitis, $ 3 Rn. 172ff. 

233 Herbst, in: Kühling/Buchner, Art. 4 Nr. 2 Rn. 36 und Art. 17 Rn. 37; Reimer, in: Sydow, Art. 4 Rn. 75. 

234 Ernst, in: Paal/Pauly, Art. 4 Rn. 34. 

235 Herbst, in: Kühling/Buchner, Art. 4 Nr. 2 Rn. 36 und Art. 17 Rn. 37. 

236 Sie hierzu das in Dammann, in: Simitis, $ 3 Rn. 179 erwähnte Sonderproblem der Löschung eines zwei Daten- 
sätze verbindenden Elements. 

237 Herbst, in: Kühling/Buchner, Art. 17 Rn. 38f. 

238 Herbst, in: Kühling/Buchner, Art. 4 Nr. 2 Rn. 36 und Art. 17 Rn. 41f. 

239 Ernst, in: Paal/Pauly, Art. 4 Rn. 34. 
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Genau genommen muss jede Anonymisierung auch eine Löschung enthalten, 
nämlich die der Identifizierungsmerkmale. Denn solange diese noch im Daten- 
satz sind, können die Daten nicht anonym sein. Insofern ist Anonymisieren 
immer auch ein teilweises Löschen der personenbezogenen Daten (bis sie nicht 
mehr personenbezogen sind). Insofern ist zu fragen, ob die Löschpflicht bereits 
mit der Teillöschung durch Anonymisierung erfüllt werden kann. 


Löschen soll jedoch dazu führen, dass gespeicherte personenbezogene Daten 
vollständig unkenntlich gemacht werden, sodass sie nicht mehr verarbeitet, 
ausgelesen oder wahrgenommen werden können. Dagegen verändert Anony- 
misieren nur die gespeicherten Daten. Dies erfolgt zwar auf eine Weise, dass 
die Daten nicht mehr einer betroffenen Person zugeordnet werden können. 
Die Daten sind aber weiterhin verarbeitbar, auslesbar und wahrnehmbar. An- 
onymisieren und Löschen führen somit zu unterschiedlichen Ergebnissen. 
Insofern kann eine Löschpflicht nicht durch Anonymisieren der Daten erfüllt 
werden. 


Soweit der Unionsgesetzgeber für bestimmte Situationen das Löschen als 
Rechtsfolge vorschreibt, kann dem eine Anonymisierung der Daten nicht ge- 
nügen. Dies ist auf jeden Fall anzunehmen, wenn nach Art. 17 Abs. ı lit. e 
DSGVO die Löschung der personenbezogenen Daten zur Erfüllung einer recht- 
lichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaa- 
ten erforderlich ist, der der Verantwortliche unterliegt. Dies gilt aber auch, 
wenn nach lit. d die personenbezogenen Daten unrechtmäßig verarbeitet wur- 
den oder unrichtig sind. In diesem Fall sollen die Daten vollständig beseitigt 
werden. Dagegen könnte für Fälle der Zweckerreichung nach lit. a, des Wider- 
rufs einer Einwilligung nach lit. b oder der Einlegung eines Widerspruchs 
nach lit. ceine Anonymisierung eventuell die Interessen der jeweils betroffe- 
nen Person ebenso erfüllen. Allerdings hat der Unionsgesetzgeber auch für 
diese Fälle eine andere Wertung und Entscheidung getroffen. °* 


Löschen und Anonymisieren sind aber auch in diesen Fällen für die betroffe- 
nen Personen nicht gleichwertig, weil sie zu unterschiedlichen Risiken füh- 
ren. Löschung heißt, dass das Risiko eines Missbrauchs der Daten vollkommen 
beseitigt ist. Eine faktische Anonymisierung, die nach Art. 4 Abs. ı DSGVO 
für eine Aufhebung des Personenbezugs ausreichend ist, bewirkt zwar, dass 
die Zuordnung der Daten zu einer betroffenen Person nach allgemeinem Er- 
messen ausgeschlossen ist, führt aber zu einem Restrisiko, das beim Löschen 
nicht mehr besteht. 


Außerdem ist ergänzend zur Löschung in Art. 17 Abs. 2 DSGVO vorgesehen, 
dass ein zur Löschung verpflichteter Verantwortlicher vertretbare Schritte 


240 S. Erwägungsgrund 39 DSGVO. 
241 S. Erwägungsgrund 65 Satz 2 und 3 DSGVO. 
242 S. Kap. 3.1.5.6 und 3.2.1. 
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unternehmen muss, um weitere Verantwortliche darüber zu informieren, 
dass eine betroffene Person von ihnen die Löschung aller Querverweise auf 
diese personenbezogenen Daten oder von Kopien oder Replikationen dieser 
Daten verlangt hat.* Diese Informationspflicht geht über die bisherige Lösch- 
pflicht hinaus. °* Diese wird durch eine Anonymisierung nicht erfüllt und ist 
auch nicht deren notwendige Folge. 


Als Ergebnis ist festzuhalten, dass eine wirksame Anonymisierung von Daten 
nicht als Umsetzung der Löschpflicht nach Art. 17 Abs. ı DSGVO angesehen 
werden kann. 


3.4.2 Ausnahmen zur Löschpflicht 


Nicht eine andere Form des Löschens, sondern Ausnahmen zur Löschpflicht 
und zum Löschanspruch* regelt Art. 17 Abs. 3 DSGVO. Nach lit. d gelten die 
Absätze ı und 2 dieser Vorschrift nicht, soweit die Verarbeitung erforderlich 
ist, „für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche 
oder historische Forschungszwecke oder für statistische Zwecke gemäß Arti- 
kel 89 Absatzı, soweit das in Absatz ı genannte Recht voraussichtlich die Ver- 
wirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft 
beeinträchtigt“. Soweit die Ausnahme nach Abs. 3 gilt, beseitigt sie nicht nur 
Löschungsanspruch und Löschungspflichten, sondern auch die Rechtsgrund- 
lagen für ein Löschen der erfassten Daten als Form der Datenverarbeitung. *6 


Die Ausnahme nach Art. 17 Abs. 3 lit. d DSGVO setzt eine bestimmte Prognose 
der Folgen der Datenlöschung voraus. Bezogen auf die Forschung muss diese 
Prognose ergeben, dass durch die Löschung der spezifischen Daten der Zweck 
der Forschung zumindest ernsthaft gefährdet ist. Dies ist etwa anzunehmen, 
wenn eine bestimmte Erkenntnis nicht gewonnen, bestimmte Untersuchun- 
gen nicht durchgeführt oder die für den Forschungszweck notwendige Voll- 
ständigkeit des Datensatzes nicht erreicht werden kann.” 


Der Bezug auf Art. 89 Abs. ı DSGVO ist so zu verstehen, dass die Ausnahme 
nur dann greift, wenn die nach dieser Vorschrift erforderlichen geeigneten 
Garantien für die Rechte und Freiheiten der betroffenen Person bestehen. %8 
Nach Art. 89 Abs. 1 Satz 2 DSGVO muss sichergestellt sein, dass technische und 
organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung 
des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen 


243 S. Erwägungsgrund 66 DSGVO. 

244 S. Roßnagel/Geminn/Jandt/Richter 2016, 170. 

245 Herbst, in: Kühling/Buchner, Art. 17 Rn. 70. 

246 Herbst, in: Kühling/Buchner, Art. 17 Rn. 70. 

247 Herbst, in: Kühling/Buchner, Art. 17 Rn. 82; Peucker, in: Sydow, Art. 17 Rn. 68; Nolte/Werkmeister, in: Gola, 
Art. 17 Rn. 43. 

248 Herbst, in: Kühling/Buchner, Art. 17 Rn. 81. 
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Maßnahmen kann nach Satz 3 die Pseudonymisierung gehören, sofern es 
möglich ist, die Forschungszwecke auf diese Weise zu erfüllen. Soweit dies 
möglich ist, sind schließlich nach Art. 89 Abs. ı Satz 4 DSGVO im Fall einer 
Weiterverarbeitung der Daten diesezu anonymisieren, soweit der Forschungs- 
zweck auch mit anonymisierten Daten erreicht werden kann. 5° 


Soweit diese Ausnahme des Art. 17 Abs. 3 lit. d DSGVO greift, kann zwar nicht 
eine Löschpflicht oder ein Löschanspruch durch Anonymisierung der Daten 
erfüllt werden. Es kann jedoch die Löschpflicht oder der Löschanspruch ent- 
fallen und an seine Stelle kann eine Pflichtund ein Anspruch treten, die Daten 
zu anonymisieren. 


3.4.3 Beseitigung des Personenbezugs durch Anonymisierung 


Der Anspruch aufLöschung und die Pflicht zur Löschung gelten allerdings nur 
für personenbezogene Daten. Zum einen setzt die Anwendung der Daten- 
schutz-Grundverordnung insgesamt nach Art. 3 Abs. ı DSGVO die Verarbeitung 
personenbezogener Daten voraus. Zum anderen bestehen im Besonderen der 
Löschanspruch und die Löschpflicht nur für personenbezogene Daten. Drittens 
beziehen sich auch die Gründe für einen Löschanspruch und eine Löschpflicht 
in Art. 17 Abs. ılit. a, d und f ausdrücklich auf personenbezogene Daten. 


Weder die Datenschutz-Grundverordnung noch Art. 17 Abs. ı DSGVO gelten 
für anonyme Daten. Wenn die Daten anonymisiert worden sind, bevor der 
Löschanspruch oder die Löschpflicht entsteht, kommt die Datenschutz-Grund- 
verordnung nicht zur Anwendung und es kann kein Löschanspruch geltend 
gemacht werden. Sind die Daten personenbezogen, wenn ein Löschanspruch 
gerichtlich geltend gemacht wird, kann eine Anonymisierung den entstan- 
denen Löschanspruch nicht erfüllen. 


3.4.4 Vereinbarung einer Löschung durch Anonymisierung 


Sind der Löschanspruch und die Löschpflicht nicht durch Art. 17 DSGVO be- 
gründet, sondern Bedingung einer Einwilligung, kommt es auf den Inhalt der 
Bedingung in der Einwilligungserklärung an, ob eine Anonymisierung die 
Löschung ersetzen kann. Wenn die betroffene Person in die Datenverarbeitung 
nur eingewilligt hat, weil der Verantwortliche ihr ohne weitere Spezifizierung 
eine Löschung in bestimmten Situationen zugesagt hat, ist davon auszuge- 
hen, dass eine Löschung im Sinne des Art. 17 Abs. ı DSGVO gemeint ist. In 
diesem Fall kann aus den genannten Gründen®: die Anonymisierung die Lö- 
schung nicht ersetzen. 


249 S. z.B. Peucker, in: Sydow, Art. 17 Rn. 67; Nolte/Werkmeister, in: Gola, Art. 17 Rn. 43. 
250 S. Kap. 3.2.2. 
251 S. Kap. 3.4.2. 
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Doch auch in diesem Fall gilt: Soweit die Daten anonymisiert worden sind, 
bevor der Löschanspruch und die Löschpflicht entstehen, kommen weder die 
Regelungen in der Datenschutz-Grundverordnung zur Einwilligung noch die 
Einwilligung in die Verarbeitung personenbezogener Daten selbst zur Anwen- 
dung und es kann auch kein Löschanspruch aus der bedingten Einwilligung 
geltend gemacht werden. 


Wenn jedoch im Rahmen von AGB, in deren Geltung die betroffene Person 
eingewilligt hat, vereinbart wurde, dass eine Löschung auch durch eine An- 
onymisierung ersetzt werden kann, könnte die Einwilligung zulässig und 
wirksam sein. Jedenfalls gibt es in der Datenschutz-Grundverordnung keine 
Regelung mehr wie in $s 6 Abs. ıBDSG a.F. und $ 84a SGB X a.F., nach der die 
Rechte der betroffenen Person unabdingbar sind und daher das Recht etwa 
auf Löschung nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt 
werden kann. Ob eine Einwilligung in die Datenverarbeitung unter Geltung 
solcher AGBs wirksam ist, hängt von den Voraussetzungen des Art. 4 Nr. 11 
DSGVO sowie Art. 7DSGVO ab, insbesondere davon, dass die betroffene Person 
nach Art. 7Abs. 2DSGVO ausreichend aufgeklärt und die Einwilligung gemäß 
Art. 7 Abs. 4 DSGVO freiwillig erteilt worden ist.” 


3.4.5 Vergleich mit der Rechtslage nach der Datenschutz-Richtlinie und 
dem geltenden Bundesdatenschutzgesetz 


Durch die Datenschutz-Grundverordnung ändern sich weder die Anforderun- 
gen an eine Löschung noch die Einschätzung des Verhältnisses von Löschung 
und Anonymisierung. Nach $ 3 Abs. 4 Nr. 5 BDSG a.F. und $ 67 Abs. 6 Nr. 5 
SGB Xa.F. ist Löschen „das Unkenntlichmachen gespeicherter personenbezo- 
gener Daten“. Diesem Verständnis des Löschens wird eine Anonymisierung 
der Daten nicht gerecht. 


Die Gründe für einen Löschanspruch und eine Löschpflicht in Art. 17 Abs. ı 
DSGVO haben sich leicht gegenüber den Gründen in ss 20 und 35 BDSG a.F. 
und s 84 SGB X verändert. Dies ändert aber nichts an der Grundaussage, dass 
eine Anonymisierung eine Löschung nicht ersetzen kann. 


Neu sind allerdings die Ausnahmen von der Löschpflicht und dem Löschan- 
spruch nach Art. 17 Abs. 3 DSGVO. Dies kann im Fall der medizinischen For- 
schung dazu führen, dass Löschpflicht und Löschanspruch entfallen und da- 
für im Fall der Weiterverarbeitung von Forschungsdaten eine Pflicht und ein 
Anspruch auf Anonymisierung der Daten an deren Stelle treten. 5 


Die Anforderungen an eine Einwilligung in Art. 4 Nr. 11 und Art. 7 DSGVO ha- 
ben sich gegenüber ş 4a BDSG a.F. und $ 67b Abs. 2 SGB X a.F. leicht verändert. 


252 S. hierzu z.B. Ernst, ZD 2017, 110; Buchner/Kühling, DuD 2017, 544. 
253 S. Kap. 3.4.2. 


191 


II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


Aber auch diese Änderungen sind für das Ergebnis irrelevant, dass bei der Ver- 
einbarung einer Löschung, die zur Bedingung einer Einwilligung wird, eine 
Anonymisierung nicht ausreicht. Lediglich soweit in der bedingten Einwilli- 
gung ein gesetzlicher Anspruch auf Löschung durch einen Anspruch auf An- 
onymisierung ersetzt wird, greift für die Datenverarbeitung nach dem bishe- 
rigen deutschen Datenschutzrecht das Dispositionsverbot nach $ 6 Abs. ı BDSG 
a.F. und $s84a SGB Xa.F. Dieses ist in der Datenschutz-Grundverordnung ent- 
fallen. 


Für alle Erwägungen greift jedoch die Feststellung, dass eine Löschung immer 
personenbezogene Daten voraussetzt und keine Löschung erforderlich istund 
eingefordert werden kann, wenn die Daten zuvor anonymisiert worden sind. 


3.4.6 Ergebnis zur Löschung durch Anonymisierung 


Eine wirksame Anonymisierung von Daten kann nicht als Umsetzung der 
Löschpflicht oder des Löschanspruchs nach Art. 17 Abs. ı DSGVO angesehen 
werden, da beide unterschiedliche Wirkungen haben. Löschpflicht oder Lösch- 
anspruch entfallen jedoch nach Art. 17 Abs. 3 DSGVO. Im Fall der Forschung 
im öffentlichen Interesse besteht keine Löschpflicht und kein Löschanspruch, 
soweit voraussichtlich die Verwirklichung der Ziele der Datenverarbeitung 
unmöglich gemacht oder ernsthaft beeinträchtigt werden. Soweit die Aus- 
nahme des Art. 17 Abs. 3 lit. dDSGVO greift, kann es sein, dass die Löschpflicht 
oder der Löschanspruch entfallen und an ihre Stelle eine Pflicht und ein An- 
spruch treten, die Daten zu anonymisieren. Weiterhin ist zu beachten, dass 
weder die Datenschutz-Grundverordnung noch Art. 17 Abs. 1ı DSGVO für ano- 
nyme Daten gelten. Wenn die Daten anonymisiert sind, bevor der Löschan- 
spruch oder die Löschpflicht entsteht, kommt die Datenschutz-Grundverord- 
nung nicht zur Anwendung und es besteht weder eine Löschpflicht noch ein 
Löschanspruch. 


3.5 Vereinbarkeit der Ergebnisse mit Art. 8 GRCh und Art. 16 AEUV 


Art. 8 GRCh begründet ein Recht auf Schutz personenbezogener Daten. Die 
Grundrechte-Charta erlangte mit dem Inkrafttreten des Vertrags von Lissa- 
bon»: zum 1. Dezember 2009 Rechtskraft. Sie ist damit Teil des EU-Primär- 
rechts. Nach Art. 8 Abs. ı GRCh hat „jede Person das Recht auf Schutz der 
sie betreffenden personenbezogenen Daten“. Art. 8Abs. 2Satzı GRCh enthält 
eine Präzisierung des Schutzes, wonach Daten „nur nach Treu und Glauben 


254 Vertrag von Lissabon zur Änderung des Vertrags über die Europäische Union und des Vertrags zur Gründung 
der Europäischen Gemeinschaft, unterzeichnet in Lissabon am 13.12.2007, ABl. C 306, 1. 

255 S. auch KOM (2010) 573 endg., 3: „Mit dem Vertrag von Lissabon wurden die in der Charta verankerten Rechte, 
Freiheiten und Grundsätze anerkannt und dieser dieselbe Rechtsverbindlichkeit wie den Verträgen verliehen.“ 
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für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf 
einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“ 
dürfen. Art. 8 Abs. 2 Satz 2 GRCh erweitert den Schutz noch um ein Auskunfts- 
und Berichtigungsrecht. Art. 8 Abs. 3 GRCh garantiert die Überwachung des 
Grundrechts durch eine unabhängige Stelle. 


Art. 8GRCh stützt sich auf das europäische Sekundärrecht zum Datenschutz, 
insbesondere die Datenschutz-Richtlinie von 1995.6 Demnach ist für das Ver- 
ständnis der Begriffe und die Zulässigkeit eines Eingriffs in das durch Art. 8 
Abs. ı GRCh begründete Recht auf Datenschutz auf das europäische Sekundär- 
recht zum Datenschutz zu verweisen.” Art. 8GRCh kann als eine Zusammen- 
fassung des geltenden europäischen Datenschutzrechts verstanden werden. 
Daher orientiert sich auch der Begriff der personenbezogenen Daten an Art. 2 
lit. aDSRL.® Damit orientiert sich auch Art. 8 Abs. ı GRCh für die Abgrenzung 
der personenbezogenen Daten von anonymen Daten und für die rechtliche 
Einordnung pseudonymer Daten an den Vorgaben der Richtlinie. 


Auch Art. 16 Abs. 1 AEUV enthält ein Grundrecht auf Datenschutz. Dieses ist 
als Wiederholung von Art. 8 GRCh zu verstehen, sodass die Ausführungen zu 
Art. 8GRCh auch für Art. 16 AEUV gelten.» 


Da die Definition personenbezogener Daten in Art. 4 Nr. ı DSGVO identisch 
mit der Definition in Art. 2 lit. a DSRL ist und die Definition pseudonymer 
Daten in Art. 4 Nr. 5 DSGVO aus der Rechtsprechung und wissenschaftlichen 
Diskussion um den Begriff der personenbezogenen Daten in Art. 2lit. aDSRL 
hervorgegangen ist, besteht kein Zweifel, dass die beiden Regelungen der 
Datenschutz-Grundverordnung mit dem Grundrecht auf Datenschutz in Art. 8 
GRCh und in Art. 16 Abs. ı AEUV vereinbar sind. Dies gilt auch für das hier 
referierte Verständnis der anonymen Daten. Ebenso ist der Begriff des Lö- 
schens in Art. 4 Nr. 2DSGVO identisch mit dem gleichen Begriff des Löschens 
in Art. 2 lit. b DSRL und damit zusammen mit dem hier referierten Bedeu- 
tungsgehalt mit Art. 8 GRCh und Art. 16 Abs. ı AEUV vereinbar. Wie der Ver- 
gleich zwischen der neuen Rechtslage nach der Datenschutz-Grundverord- 
nung und der bisherigen Rechtslage nach der Datenschutz-Richtlinie und 
ihren deutschen Umsetzungsgesetzen gezeigt hat, °* sind die Unterschiede 
sehr gering. Daher stimmen die hier gefundenen Ergebnisse mit der Daten- 
schutzrechtslage vor Erlass des Grundrechts auf Datenschutz in Art. 8 GRCh 
und in Art. 16 Abs. ı AEUV überein, die als normativer Bezugsrahmen dem 
Grundrecht zugrunde liegt. 


256 S.Charta-Erläuterungen, EU ABl. C 303 vom 14.12.2007, 20. 

257 Bernsdorff, in: Meyer 2014, Art. 8 GRCh, Rn. 17; Kingreen, in: Callies/Ruffert, Art. 8 GRCh, Rn. 5ff. 

258 EuGH, Urteil vom 9.11.2010, Rs. C-92/09 und C-93/09, ECLI:EU:C:2010:662, Rn. 52 - Schecke; Jarass 2016, Art. 8 
Rn. 5; Kingreen, in: Callies/Ruffert, Art. 8 GRCh, Rn. 9. 

259 Sobotta, in: Grabitz/Hilf/Nettesheim 2015, Art. 16 AEUV, Rn. 8; Kingreen, in: Callies/Ruffert, Art. 16 AEUV, Rn. 3. 

260 S. Kap. 3.1.6, 3.2.4, 3.3.4 und 3.4.5. 
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Das Kapitel widmet sich der Beantwortung der Forschungsfrage 4.2: 


Gehen Sie bitte auf den Begriff der „wissenschaftlichen Forschungszwecke“ (nach Er- 
wägungsgrund 159 der EU-DSGVO) ein und beschreiben Sie, ob die Inhalte dieses Er- 
wägungsgrundes zu einer anderen Interpretation des Begriffs „wissenschaftliche For- 
schung“ führen, als dies bisher der Fall war. Insbesondere bitten wir um einen Vergleich 
zu der Rechtsauffassung von Hr. Schneider auf Seite 97/98 (TMF-Veröffentlichung: 
U.K. Schneider, Sekundärnutzung klinischer Daten - Rechtliche Rahmenbedingun- 
gen, Band 12). 


Im Rahmen wissenschaftlicher Forschung stellen sich nicht selten komplexe 
ethische und rechtliche Fragen. Wissenschaftliche Forschung endet nicht be- 
reits dort, wo durch die Forschung in Grundrechte Dritter eingegriffen wird. 
Auch ist die Wissenschaftsfreiheit nicht unter Gesetzesvorbehalt gestellt. 
Vielmehr ist eine Abwägung mit anderen Grundrechten und Grundwerten mit 
Verfassungsrang vorzunehmen. Diese privilegierte Stellung beruht auf der 
„Schlüsselfunktion, die einer freien Wissenschaft sowohl für die Selbstver- 
wirklichung des Einzelnen als auch für die gesamtgesellschaftliche Entwick- 
lung zukommt“. -52 


261 Antoni, in: Hömig/Wollff, Art. 5 Rn. 35. 
262 BVerfGE 35, 79 (113). 
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Wissenschaftliche Forschung beruht zwar nicht notwendigerweise, aber doch 
häufig auf der Verarbeitung personenbezogener Daten. Die Forschungsfreiheit 
aus Art. 5 Abs. 3 SatzıGG und das Recht aufinformationelle Selbstbestimmung 
stehen sich dann als eigenständige Grundrechte gegenüber und können in 
Konflikt geraten. Auf Ebene der Europäischen Union sind es die Forschungs- 
freiheit aus Art. 13 Satz ı GRCh und die Rechte aus den Art. 7 und 8GRCh, die 
sich gegenüberstehen. Zudem ist das Grundrecht auf körperliche Unversehrt- 
heit nach Art. 3 Abs. ıGRCh zu beachten. Dieses fordert für medizinische Ein- 
griffe nach Art. 3 Abs. 2 lit. a GRCh eine freie Einwilligung des Betroffenen 
nach vorheriger Aufklärung. Der Gesetzgeber hat mit seinen Vorgaben zum 
Datenumgang in der wissenschaftlichen Forschung ein System geschaffen, 
das diese Grundrechte in einen fairen Ausgleich bringen möchte. 


4.1 Die Bedeutung des Datenschutzes 
für die wissenschaftliche Forschung 


Wissenschaftliche Forschung kann an vielen Stellen mit den Grundprinzipien 
des Datenschutzes in Konflikt geraten. So ist es beispielsweise oft nicht mög- 
lich, den Zweck für die Verarbeitung personenbezogener Daten im Rahmen 
der Forschung bereits zum Zeitpunkt der Datenerhebung vollständig anzuge- 
ben. Dennoch ist ein wirksamer Datenschutz auch im Bereich der wissen- 
schaftlichen Forschung zum Schutz der Rechte der betroffenen Personen un- 
verzichtbar. 


4.1.1 Wissenschaft und Forschung in Charta und Grundgesetz 


Im deutschen Verfassungsrecht gilt die „Wissenschaft“ als Oberbegriff zu For- 
schung und akademischer Lehre. Sie wird sehr weits definiert als „alles, 
was nach Inhalt und Form als ernsthafter planmäßiger Versucht zur Ermitt- 
lung der Wahrheit anzusehen ist“. 2% 


Die sprachliche Trennung zwischen Forschung und Lehre unter dem Oberbe- 
griff der Wissenschaft findet sich auch in Art. 13 GRCh;?” der Aspekt der Lehre 
ist dabei im Begriff der „akademischen Freiheit“ enthalten. °® Dass die Charta 


263 Erwägungsgrund 33 DSGVO. 

264 S. BVerfGE 35, 79 (112); Antoni, in: Hömig/Wollff, Art. 5 Rn. 32; Scholz, in: Maunz/Dürig, Art. 5 Abs. 3 Rn. 9. 

265 So lasse sich mit der Definition „kaum etwas anfangen“; Simitis, in: ders., $ 40 Rn. 35. Andererseits kommt der 
Weite der Definition auch die Funktion zu, offen für Wandel und Neuerung zu sein - s. auch Schneider 2015, 97. 

266 BVerfGE 47, 327 (367). 

267 Jarass 2016, Art. 13 Rn. 6; Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 5. 

268 Jarass 2016, Art. 13 Rn. 8. Nach Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 9 enthält die akademische Freiheit 
zudem eine Begrenzung des organisatorischen Zugriffs des Unionsgesetzgebers auf Universitäten und außer- 
universitäre Forschungsstätten. Eine ähnliche Gewährleistung wird auch für Art. 5 Abs. 3 GG angenommen - 

s. Scholz, in: Maunz/Dürig, Art. 5 Abs. 3 Rn. 81. 
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in Art. 13 GRCh nicht von „Lehre“ spricht, dient der Abgrenzung zu Art. 14 
Abs. 3 GRCh, der die Freiheit zur Gründung von Lehranstalten enthält. 69 


Art. 13 GRCh gilt als vom deutschen Grundgesetz „inspiriert“, 7° was einerseits 
die Parallelen zwischen Charta und Grundgesetz erklärt, andererseits ermög- 
licht, die Auslegung zu Art. 5 Abs. 3 GG bis zu einem gewissen Grad auch zur 
Auslegung von Art. 13 GRCh heranzuziehen. Der Europäische Gerichtshof hat 
sich bisher nur peripher zur Wissenschaftsfreiheit geäußert." Dennoch kann 
der Wissenschaftsbegriff des Grundgesetzes nicht einfach auf Art. 13 GRCh 
übertragen werden.” So sei das Element der Wahrheitssuche’ für die Charta 
durch ein „methodisch geleitetes Generieren neuen Wissens“ zu ersetzen.” 
Da aber auch Art. 5 Abs. 3 GG die angewandte Forschung miteinschließt, hat 
diese sprachliche Modifikation der hergebrachten deutschen Definition des 
Wissenschaftsbegriffs lediglich klarstellenden Charakter, indem sie eine un- 
zulässige idealistische Einschränkung des Begriffs verhindert. Berufen kann 
sich auf die Wissenschaftsfreiheit nach Art. 13 GRCh „jeder wissenschaftlich 
Tätige“. 


Der Begriff der „Forschung“ wird weder im Primärrecht noch im Sekundär- 
recht der Union definiert, ist aber nach herrschender Meinung weit zu ver- 
stehen. ”° Eine Differenzierung zwischen Grundlagenforschung und ange- 
wandter Forschung findet nicht statt.” 


Das Bundesverfassungsgericht versteht unter Forschung die „geistige Tätig- 
keit mit dem Ziele, in methodischer, systematischer und nachprüfbarer Wei- 
se neue Erkenntnisse zu gewinnen“. 78 Eine eigene, klärende Definition findet 
sich weder im geltenden noch im neuen Bundesdatenschutzgesetz - weder 
zum Begriff der „Forschung“ noch zu dem der „Wissenschaft“. 


Grundrechtliche Vorgaben zu Wissenschaft und Forschung ergeben sich auf 
Unionsebene insbesondere aus Art. 3 Abs. 2 lit. b GRCh.’” Dieser fordert „im 
Rahmen der Medizin und der Biologie“ die Einwilligung des Betroffenen nach 
vorheriger Aufklärung. 


269 Bernsdorff, in: Meyer, Art. 13 Rn. 15. 

270 Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 1. 

271 S. Nachweise in Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 2. 

272 Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 6. 

273 Dieses fußt auf der Auslegung von Art. 142 der Weimarer Reichsverfassung durch Smend - Scholz, in: Maunz/ 
Dürig, Art. 5 Abs. 3 Rn. 91. Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 6 sieht bei Smend eine Vorprägung 
durch den deutschen Idealismus. 

274 Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 6. 

275 Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 8. 

276 S. Bernsdorff, in: Meyer, Art. 13 Rn. 15; s. auch Erwägungsgrund 159 Satz 2 DSGVO. 

277 Bernsdorff, in: Meyer, Art. 13 Rn. 15. 

278 BVerfGE 35, 79 (112) unter Verweis auf BT-Drs. V/4335, 4; „Forschung“ i.S.v. Art. 5 Abs. 3 meint damit nur die 
wissenschaftliche Forschung - Scholz, in: Maunz/Dürig, Art. 5 Abs. 3 Rn. 85. 

279 „Im Rahmen der Medizin und der Biologie muss insbesondere Folgendes beachtet werden: a) die freie Ein- 
willigung des Betroffenen nach vorheriger Aufklärung entsprechend den gesetzlich festgelegten Einzelheiten“. 
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4.1.2 Rechtslage nach der Datenschutz-Grundverordnung 


Die Datenschutz-Grundverordnung schützt Gesundheitsdaten nach Art. 9 
Abs. ıDSGVO als besondere Kategorie personenbezogener Daten. Art. 4 Nr. 15 
DSGVO definiert Gesundheitsdaten als personenbezogene Daten, die sich auf 
die körperliche oder geistige Gesundheit einer natürlichen Person, einschließ- 
lich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus 
denen Informationen über deren Gesundheitszustand hervorgehen. 


Einen Ausgleich zwischen Art. 7 und 8 GRCh einerseits und Art. 13 und 3 GRCh 
andererseits bewirkt die Verordnung vornehmlich durch die Regeln zur Ein- 
willigung und durch besondere Garantien gemäß Art. 89 Abs. ı DSGVO. 


Auch für Forschungszwecke bestimmt sich die Zulässigkeit einer Datenver- 
arbeitung nach Art. 6 Abs. ı UAbs. ılit. a bis fDSGVO. An erster Stelle wird in 
lit. a die Einwilligung genannt. Da auch Art. 8 Abs. 2 Satz ı GRCh die Einwil- 
ligung vor der gesetzlichen Zulässigkeit nennt, wird sie von manchen als die 
„vornehmste“ Bedingung für die Rechtmäßigkeit der Verarbeitung aufge- 
führt. Sie muss nach ihrer Definition in Art. 4 Nr. 11 DSGVO unter anderem 
freiwillig und für den bestimmten Fall, in informierter und unmissverständ- 
licher Weise abgegeben werden. Weitgehend unproblematisch ist auch die 
Verarbeitung von Gesundheitsdaten, wenn sie sich nach Art. 9 Abs. 2 lit. a 
DSGVO auf eine wirksame Einwilligung des Betroffenen stützt. Ausnahmen 
durch nationales Recht sind nach Art. 9 Abs. 2lit. | DSGVO möglich. Trotz der 
Vorgabe aus Art. 4Nr. 11 DSGVO, die Einwilligung müsse „für den bestimmten 
Fall“ abgegeben werden, sind für Zwecke der wissenschaftlichen Forschung 
ausnahmsweise auch breit formulierte Einwilligungen möglich. Dies stellt 
Erwägungsgrund 33 DSGVO klar: * 


„Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der 
wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen 
Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen er- 
laubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu 
geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissen- 
schaftlichen Forschung geschieht. Die betroffenen Personen sollten Gelegenheit er- 
halten, ihre Einwilligung nur für bestimme Forschungsbereiche oder Teile von For- 
schungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.“ 


In der Praxis bedeutet dies eine bereichsspezifische Aufweichung der daten- 
schutzrechtlichen Vorgabe, den Zweck der Verarbeitung vorab möglichst prä- 
zise anzugeben. ® 


280 S. z.B. Albers, in: Wolff/Brink, Art. 6 DSGVO, Rn. 19; Frenzel, in: Paal/Pauly, Art. 6 Rn. 10. 
281 S. auch Johannes, in: Roßnagel 2017, $ 4 Rn. 65. 
282 S. Art. 5 Abs. 1 lit. b DSGVO: „für festgelegte, eindeutige und legitime Zwecke“. 


198 


4 Regelungen für wissenschaftliche Forschung 


Art. 89 Art. 1 Satz ı DSGVO enthält die Feststellung, dass die Verarbeitung per- 
sonenbezogener Daten zu wissenschaftlichen Forschungszwecken „geeigne- 
ten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß 
dieser Verordnung“ unterliegt. Der Norm kommt primär eine strukturierende 
Funktion zu; sie stellt keinen gesonderten Erlaubnistatbestand dar. °® Indem 
sie Forschungsinteressen mit dem Schutz personenbezogener Daten in Aus- 
gleich zu bringen sucht, versuche sie eine „Quadratur des Kreises“. ?%+ 


Privilegierungen der Datenverarbeitung zu Forschungszwecken finden sich 
an vielen Stellen der Verordnung. Nach Art. 5 Abs. 1 lit. b DSGVO etwa ist eine 
Weiterverarbeitung für wissenschaftliche Forschungszwecke nicht unverein- 
bar mit den ursprünglichen Zwecken. Das hat zur Folge, dass zur Weiterver- 
arbeitung im Verhältnis zur Erstverarbeitung keine neue Rechtsgrundlage 
notwendig ist, sondern die Verarbeitung auf die Grundlage der Erstverarbei- 
tung gestützt werden kann.?® Diese Privilegierung der Verarbeitung von per- 
sonenbezogenen Daten zu Forschungszwecken bezogen auf dieZweckbindung 
ist von zentraler Bedeutung. Die Bedeutung dieser Vereinbarkeitsvermutung 
ist allerdings umstritten. * Die Formulierung „nicht unvereinbar“ indiziert, 
dass zumindest Ausnahmen von der in Art. 5 Abs. ı lit. bDSGVO formulierten 
Regel denkbar sind. In bestimmten Fällen kann also dennoch eine neue 
Rechtsgrundlage erforderlich sein, wobei primär an besonders schwerwiegen- 
de Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person im 
Sinne von Art. 6 Abs. a lit. dDSGVO zu denken ist.” Letztlich sollte nicht von 
einer „faktische[n] Aufhebung des Zweckbindungsgrundsatzes“ gesprochen 
werden, ® sondern lediglich von einer Flexibilisierung. ”® 


Eine weitere Privilegierung bezogen auf die Speicherdauer personenbezogener 
Daten im Falle einer Verarbeitung für wissenschaftliche Forschungszwecke 
enthält Art. 5 Abs. ı lit. e DSGVO. Grundsätzlich dürfen personenbezogene 
Daten nur so lange gespeichert werden, wie dies für die Verarbeitungszwecke 
erforderlich ist. Danach sind sie zu löschen oder der Personenbezug ist zu ent- 
fernen. Vorbehaltlich geeigneter technischer und organisatorischer Maßnah- 
men ist eine Speicherung personenbezogener Daten zu wissenschaftlichen 
Forschungszwecken gemäß Art. 89 Abs. ı DSGVO aber auch nach Wegfall der 
Erforderlichkeit erlaubt. Eine Festlegung auf einen konkreten Zeitraum ist der 


283 Hense, in: Sydow, Art. 89 Rn. 1. 

284 So Hense, in: Sydow, Art. 89 Rn. 2. 

285 S. Erwägungsgrund 50 DSGVO: „Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, 
für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollte als vereinbarer und 
rechtmäßiger Verarbeitungsvorgang gelten.“ 

286 Für den Wegfall des Erfordernisses einer neuen Rechtsgrundlage: Schulz, in: Gola, Art. 6 Rn. 185ff.; Frenzel, in 
Paal/Pauly, Art. 5 Rn. 31; Roßnagel, in: Simitis/Hornung/Spiecher, Art. 6 Abs. 4 i.E.; Kühling/Martini u.a. 2016, 
38; differenziert: Herbst, in: Kühling/Buchner, Art. 5 Rn. 49; Heberlein, in: Ehmann/Selmayr, Art. 5 Rn. 20. 

287 So Johannes/Richter, DuD 2017, 300 (301). 

288 So noch Johannes, in: Roßnagel 2017, $ 4 Rn. 64. 

289 So Johannes/Richter, DuD 2017, 300 (301). 
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Verordnung allerdings nicht zu entnehmen; sie spricht lediglich davon, dass 
solche Daten „länger“ gespeichert werden dürfen. Damit wird auch das Prin- 
zip der Speicherbegrenzung zugunsten wissenschaftlicher Forschungszwecke 
erweitert. Statt am Primärzweck muss sie sich nun am Sekundärzweck der 
Forschung ausrichten. Die Speicherung für den Forschungszweck darf nicht 
zu einer unbegrenzten Vorratsdatenhaltung führen. Der wissenschaftliche 
Zweck, der die Erhaltung des Personenbezugs erforderlich macht, muss we- 
nigstens lege artis theoretisch nach der konkreten Wissenschaft absehbar 
sein. 22° 


Nach Art. 17 Abs. 3 lit. d DSGVO steht der betroffenen Person kein Recht auf 
Löschung zu, wenn die Datenverarbeitung für wissenschaftliche Forschungs- 
zwecke erforderlich ist und das Recht die Verwirklichung der Ziele dieser Ver- 
arbeitung unmöglich macht oder ernsthaft beeinträchtigt.” Der Verantwort- 
liche ist von seiner Informationspflicht nach Art. 14 Abs. ı bis 4 DSGVO befreit, 
wenn ihre Erfüllung gemäß Art. 14 Abs. 5 lit. b DSGVO im Rahmen der Ver- 
arbeitung für wissenschaftliche Forschungszwecke einen unverhältnismäßi- 
gen Aufwand erfordern würde. 


Zu beachten sind auch die weitreichenden Öffnungsklauseln der Daten- 
schutz-Grundverordnung für die Verarbeitung von personenbezogenen Daten 
etwa im öffentlichen Bereich.” 


4.1.3 Rechtslage nach dem neuen Bundesdatenschutzgesetz 


Die Datenschutz-Grundverordnung enthält eine große Zahl von Öffnungs- 
klauseln, die die nationalen Gesetzgeber nutzen können, um abweichende 
Regelungen zu treffen. Art. 9 Abs. ı DSGVO verbietet, besondere Kategorien 
von personenbezogenen Daten zu verarbeiten. Art. 9 Abs. 2 DSGVO gibt dem 
nationalen Gesetzgeber vielfältige Möglichkeiten, Ausnahmen von diesem 
Verbot festzulegen?» - für medizinische Forschung in Art. 9 Abs. 2 lit. j DSGVO. 
Eine Ausnahme von diesem Verbot befreit jedoch nach Erwägungsgrund 51 
DSGVO nicht davon, „die allgemeinen Grundsätze und Bestimmungen dieser 
Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßi- 
ge Verarbeitung“ zu beachten. Daher gelten auch für besondere Kategorien 
von personenbezogenen Daten die Bedingungen für die Zulässigkeit der Daten- 
verarbeitung, die sich aus Art. 6 Abs. ı und 4 DSGVO%* und Art. 89 Abs. ı 
DSGVO ergeben. Allerdings fordern die Öffnungsklauseln in Art. 9 Abs. 2 
DSGVO von den mitgliedstaatlichen Regelungen, die spezielleren nationalen 


290 Johannes, in: Roßnagel 2018, $ 7 Rn. 253. 

291 S. Kap. 3.4.2. 

292 Zu den Öffnungsklauseln s. Johannes, in: Roßnagel 2018, $ 7 Rn. 276ff. 

293 S. Frenzel, in: Paal/Pauly, Art. 9 Rn. 1. 

294 S. z.B. Schulz, in: Gola, Art. 9 Rn. 5f.; Weichert, in: Kühling/Buchner, Art. 9 Rn. 4; a.A. Kampert, in: Sydow, Art. 9 
Rn. 1 und 12: Art. 9 ist abschließend. 


200 


4 Regelungen für wissenschaftliche Forschung 


Erlaubnistatbestände gegenüber den allgemeinen Erlaubnisregeln in Art. 6 
Abs. 1 DSGVO zu verengen. ss Sie gehen daher diesen vor. Für die allgemeinen 
Bedingungen ergeben sich außerdem für die Forschung Öffnungsklauseln aus 
Art. 89 Abs. 2 und im öffentlichen Bereich aus Art. 6 Abs. 2 und 3 DSGVO.?% 


Das neue Bundesdatenschutzgesetz enthält deshalb in $ 27 BDSG-neu eigene 
Regelungen zur Datenverarbeitung zu wissenschaftlichen Forschungszwe- 
cken. Diese sind als lex generalis im Verhältnis zum bereichsspezifischen 
Recht ausgestaltet.” Der Wortlaut von $ 27 BDSG-neu ist wie folgt: 


„(1) Abweichend von Artikel 9 Absatz ı der Verordnung (EU) 2016/679 ist die Verarbei- 
tung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Ab- 
satz ı der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche 
oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die 
Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortli- 
chen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss 
der Verarbeitung erheblich überwiegen. Der Verantwortliche sieht angemessene und 
spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß 
$22 Absatz 2 Satz 2 vor. 


(2) Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen 
Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussicht- 
lich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder 
ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungs- 
oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel ı5 der 
Verordnung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke 
der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen 
unverhältnismäßigen Aufwand erfordern würde. 


(3) Ergänzend zu den in § 22 Absatz 2 genannten Maßnahmen sind zu wissenschaftli- 
chen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete 
besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz ı der 
Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder 
Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person 
stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen 
Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder be- 
stimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur 
zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert. 


(4) Der Verantwortliche darf personenbezogene Daten nur veröffentlichen, wenn die 
betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergeb- 
nissen über Ereignisse der Zeitgeschichte unerlässlich ist.“ 


295 Weichert, in: Kühling/Buchner, Art. 9 Rn. 4. 
296 Zur Kritik an dieser Konstruktion s. Johannes/Richter, DuD 2017, 300 (302). 
297 BT-Drs. 18/11325, 100. 
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Eine Verarbeitung besonderer Kategorien personenbezogener Daten soll nach 
$ 27 Abs. ı Satz ı BDSC-neu auch ohne Einwilligung zu wissenschaftlichen 
Forschungszwecken möglich sein, sofern die Interessen des Verantwortlichen 
„erheblich überwiegen“ und der Verantwortliche im Sinn von $ 22 Abs. 2Satzı 
BDSG-neu „angemessene und spezifische Maßnahmen zur Wahrnehmung 
der Interessen der betroffenen Person“ vorsieht. Zudem sind die Vorgaben aus 
$ 27 Abs. 3% und 4 BDSG-neu zu beachten. 


Die Rechte aus den Art. 15, 16, 18 und 21 DSGVO können nach Maßgabe von 
$ 27 Abs. 2 Satz ı BDSG-neu beschränkt werden. Eine Beschränkung ist dann 
möglich, wenn die genannten Rechte die Verwirklichung des Forschungs- 
zwecks unmöglich machen oder ernsthaft beeinträchtigen; die Beschränkung 
muss für die Erfüllung der Forschungszwecke notwendig sein. Ein Fallbeispiel 
bietet die Gesetzesbegründung: Die Verwirklichung des Forschungszwecks 
kann dann unmöglich sein, wenn das fragliche Forschungsprojekt andern- 
falls von der zuständigen Ethikkommission nicht genehmigt werden würde. 9 


$ 27 Abs. 2 Satz 2 BDSC-neu enthält eine weitere Einschränkung des Auskunfts- 
rechts aus Art. 15 DSGVO. Dieses ist dann ganz abdingbar, wenn die Auskunfts- 
erteilung zu Forschungsdaten, die zur Erreichung des Forschungszwecks er- 
forderlich sind, einen unverhältnismäßigen Aufwand erfordern würde. 


$ 27 Abs. 3 BDSG-neu ergänzt die in $ 22 Abs. 2 BDSG-neu genannten Maßnah- 
men, auf die $ 27 Abs. ı Satz 2 BDSG-neu verweist. So sind nach $ 27 Abs. 3 Satzı 
BDSCG-neu zu wissenschaftlichen Forschungszwecken verarbeitete besondere 
Kategorien personenbezogener Daten zu anonymisieren, sobald dies nach dem 
Forschungszweck möglich ist, sofern nicht berechtigte Interessen der betrof- 
fenen Person dem entgegenstehen.” $ 27 Abs. 3 Satz 2 BDSG-neu enthält eine 
Vorgabe an die Speicherung der Merkmale, mit denen eine Zuordnung zu einer 
bestimmten Person möglich ist. Diese Merkmale sind getrennt zu speichern 
und nur bei konkretem Bedarf mit den Einzelangaben zusammenzuführen. 
Dies entspricht inhaltlich exakt s 40 Abs. 2 BDSG a.F. 


$ 27 Abs. 4 BDSG-neu enthält die Vorgabe, dass personenbezogene Daten ab- 
seits von Ereignissen über die Zeitgeschichte nur mit Einwilligung der betrof- 
fenen Person veröffentlicht werden dürfen, was $ 40 Abs. 3 BDSG a.F. ent- 
spricht. Die Regelung kann auf Art. 85 DGSVO gestützt werden. 


4.1.4 Vergleich mit der Rechtslage nach der Datenschutz-Richtlinie und 
dem geltenden Bundesdatenschutzgesetz 


Ähnliche Privilegierungen wie in der Datenschutz-Grundverordnung finden 
sich schon in Art. 6 Abs. ı lit. b, Art. 11 Abs. 2 und Art. 13 Abs. 2 DSRL. Eine 


298 S. zu diesem Kap. 3.2.2. 
299 BT-Drs. 18/11325, S. 99. 
300 Diese Regelung ist angesichts des Wortlauts von Art. 89 Abs. 1 Satz 4 DSGVO unionsrechtswidrig - s. Kap. 3.2.2. 
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Art. 89 DSGVO entsprechende „Grundnorm“ enthält die Datenschutzrichtlinie 
aber nicht.:" Im Vergleich zur Richtlinie wird in der Verordnung aber eine 
Präzisierung und Eingrenzung des Begriffs der „wissenschaftlichen Zwecke“ 
zu den „wissenschaftlichen Forschungszwecken“ versucht. 


Regelungen zur wissenschaftlichen Forschung finden sich im geltenden Bun- 
desdatenschutzgesetz etwa in $$13 Abs. 2 Nr. 8, 14 Abs. 2 Nr. 9 und Abs. 5Satzı 
Nr. 2, 28 Abs. 2 Nr. 3 und Abs. 6 Nr. 4 sowie 40 BDSG a.F. Diese wurden unter 
Nutzung von Öffnungsklauseln teilweise in das neue Bundesdatenschutzge- 
setz übernommen. $ 27 Abs. 2 Satz 2 wie auch die Absätze 3 und 4 BDSG-neu 
stellen so im Vergleich zum geltenden Bundesdatenschutzgesetz grundsätz- 
lich keine Neuerungen dar. $ 27 Abs. 2 Satz 2 BDSG-neu ist vielmehr eine Über- 
tragung von $ 33 Abs. 2 Satz ı Nr. 5i.V.m. $ 34 Abs. 7 sowie $ 19a Abs. 2 Nr. 2 
BDSG a.F. in das neue Bundesdatenschutzgesetz.3” $ 27 Abs. 3 und 4 BDSG-neu 
sind weitgehend inhalts- und wortgleich mit $ 40 Abs. 2 und 3 BDSG a.F. 3% Die 
ausdrückliche Ausweitung auf alle Daten in $ 40 Abs. 2 BDSG a.F. und die ex- 
plizite Beschränkung von $ 40 Abs. 3 BDSG a.F. auf wissenschaftliche For- 
schung betreibende Stellen wird jedoch aufgegeben. 


Gegenüber ss 13, 14 und 28 BDSG a.F. fehlt es $ 27 Abs. ı BDSG-neu an den Vo- 
raussetzungen „zur Durchführung wissenschaftlicher Forschung erforderlich“ 
und dass „der Zweck der Forschung auf andere Weise nicht oder nur mit un- 
verhältnismäßigem Aufwand erreicht werden kann“. Hier wird deshalb mit 
einer Absenkung des bisherigen Datenschutzniveaus gerechnet. 3% 


Anforderungen an die Verarbeitung von personenbezogenen Daten zu For- 
schungszwecken finden sich neben dem Bundesdatenschutzgesetz auch in 
den Landesdatenschutzgesetzen und in Spezialgesetzen wie dem Krebsregis- 
terdatengesetz und den Landeskrankenhausgesetzen. Eine Anpassung dieser 
Gesetze an die Datenschutz-Grundverordnung ist bisher nicht erfolgt, verein- 
zelt liegen jedoch bereits Entwürfe vor. 3° 


Der Wegfall des Begriffs der „Forschungseinrichtung“ im Sinn von $ 40 BDSG 
a.F. dürfte - abgesehen vom Ende der Exklusion von Einzelforschern - letztlich 
ohne größere Folgen bleiben. Dieser findet sich im neuen Bundesdatenschutz- 
gesetz nicht mehr und ist auch in der Datenschutz-Grundverordnung nicht 


301 Hense, in: Sydow, Art. 89 Rn. 3. 

302 BT-Drs. 18/11325, 99. 

303 BT-Drs. 18/11325, 100. 

304 So Johannes/Richter, DuD 2017, 300 (302). 

305 S. den Gesetzentwurf der Bayerischen Staatsregierung für ein Bayerisches Datenschutzgesetz vom 28.9.2017; 
Gesetzentwurf der Sächsischen Staatsregierung für ein Gesetz zur Anpassung landesrechtlicher Vorschriften an 
die Datenschutz-Grundverordnung vom 29.9.2017, LT-Drs. 6/10918; Gesetzentwurf der Fraktionen der CDU und 
der Fraktion Bündnis 90/DIE GRÜNEN für ein Hessisches Gesetz zur Anpassung des Landesdatenschutzrechts an 
die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfrei- 
heit vom 5.12.2017, LT-Drs. 19/5728. 
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enthalten.“ In den Begriff wird insbesondere die Anforderung der Unabhän- 
gigkeit hineingelesen.:” Diese Anforderung wird aber ohnehin als den Begrif- 
fen „Wissenschaft“ und „Forschung“ immanent angesehen. 38 Auch nach der 
Datenschutz-Grundverordnung dürfte etwa in einem Unternehmen weiter 
eine Trennung des Forschungsbereichs vom restlichen Unternehmen gefordert 
sein. Dies ergibt sich einerseits aus den Vorgaben zur Zweckbindung, anderer- 
seits aus den Vorgaben zu Maßnahmen zum Schutz personenbezogener Daten. 
Die Trennung im Sinn der Datenschutz-Grundverordnung bezieht sich aber 
auf den Datenumgang, nicht auf die Organisationsstruktur. Unter Verweis 
auf den Begriff der „Forschungszwecke“ eine Restriktion der Privilegierung 
auf Forschungseinrichtungen im Sinn von $ 40 BDSG a.F. anzunehmen, ist 
nicht zulässig. Vom deutschen Recht kann nicht auf die Auslegung unions- 
rechtlicher Rechtsbegriffe geschlossen werden. 


4.1.5 Vereinbarkeit von $ 27 BDSG-neu mit Art. 8 GRCh, Art. 16 AEUV und der 
Datenschutz-Grundverordnung 


Fraglich ist, ob die Regelungen in $ 27 BDSC-neu mit den Vorgaben der Art. 8 
GRCh und Art. 16 AEUV sowie der Datenschutz-Grundverordnung vereinbar 
sind. 


Art. 8 Abs. ıGRCh enthält lediglich ein abstraktes Recht auf Schutz personen- 
bezogener Daten. Art. 8 Abs. 2 Satz ı GRCh enthält die Prinzipien der Zweck- 
bindung und der Rechtmäßigkeit der Verarbeitung. Art. 8 Abs. 2 Satz 2 GRCh 
garantiert die Rechte auf Auskunft und auf Berichtigung. $ 27 BDSG-neu ist 
mit Art. 8 Abs. ıund Abs. 2 Satzı GRCh vereinbar. $ 27 BDSG-neu etabliert eine 
gesetzlich geregelte Grundlage zur Verarbeitung personenbezogener Daten wie 
in Art. 8Abs. 2 Satz ı GRCh gefordert. Fraglich ist allenfalls ein Verstoß gegen 
die von Art. 8 Abs. 2Satzı GRCh geforderte Beschränkung auf festgelegte Zwe- 
cke. $ 27 Abs. ı BDSG-neu ist restriktiv formuliert und greift nur bei einem er- 
heblichen:® Überwiegen der Interessen des Verantwortlichen gegenüber denen 
der betroffenen Person. Zudem errichten ș 22 Abs. 2 Satz 2 und $ 27 Abs. 3und 4 
BDSCG-neu (wenige) zusätzliche Hürden. Ein Verstoß gegen die Beschränkung 
auf festgelegte Zwecke besteht somit nicht. 


306 Zudem enthält auch das geltende Bundesdatenschutzgesetz neben $ 40 BDSG a.F. eine Reihe von Privilegierun- 
gen für die wissenschaftliche Forschung, die keine Einschränkung auf Forschungseinrichtungen vornehmen wie 
etwa $ 4a Abs. 2 BDSG a.F. 

307 S. Gola/Schomerus, $ 40 Rn. 7; Simitis, in: ders., $ 40 Rn. 29: Die Institution muss „ihrer Aufgabe und Struktur 
nach der wissenschaftlichen Forschung gewidmet sein“. 

308 Gola/Schomerus, $ 40 Rn. 7ff.; s. auch Hornung/Hofmann, ZD-Beilage 4/2017, 1 (5): „Ein solches Unabhängig- 
keitserfordernis wird man auch für den Begriff der wissenschaftlichen Forschung nach der Datenschutz-Grund- 
verordnung verlangen müssen.“ S. auch Schneider 2015, 97. 

309 Diese Vorgabe wurde etwa vom Wirtschaftsausschuss des Bundesrats als unnötig kritisiert. Ein überwiegendes 
Interesse, verbunden mit dem Verweis auf $ 22 Abs. 2 Satz 2 BDSG-neu sei ausreichend; BR-Drs. 110/1/17 (neu), 
34. Die Vorgabe war aber indes etwa bereits in $ 13 Abs. 2 Nr. 8 BDSG a.F. enthalten. 
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Da $ 27 Abs. 2 BDSG-neu Beschränkungen der Betroffenenrechte der Grund- 
verordnung enthält, insbesondere zum Recht aus Auskunft, kollidiert er mit 
Art. 8 Abs. 2 Satz 2 GRCh. Das Recht aus Art. 8GRCh ist jedoch nicht vorbehalt- 
los gewährleistet; Einschränkungen sind möglich. Diese müssen nach Art. 52 
Abs. ı Satz ı GRCh gesetzlich vorgesehen sein und den Wesensgehalt dieser 
Rechte und Freiheiten achten. Diese Voraussetzungen erfüllen sowohl Art. 89 
Abs. 2 DSGVO als auch s$ 27 Abs. 2 BDCS. 


An der Vereinbarkeit von $ 27 BDSG-neu mit Art. 16 Abs. ı AEUV3° bestehen 
keine Zweifel. Art. 16 Abs. ı AEUV enthält ein gegenüber Art. 8 Abs. ı GRCh 
wortgleiches Recht auf Schutz personenbezogener Daten." Auch mit Blick auf 
Art. 16 Abs. 2 Satz 2 AEUV bestehen keine Bedenken an der Vereinbarkeit. 


Zur Vereinbarkeit von $ 27 Abs. ı BDSG-neu mit der Datenschutz-Grundver- 
ordnung ist Folgendes festzuhalten: $ 27 Abs. ı BDSG-neu ist als Ausnahme- 
tatbestand zum Verbot der Verarbeitung besonderer Kategorien personenbe- 
zogener Daten aus Art. 9 Abs. ı DSGVO ausgestaltet und gilt deshalb aus- 
schließlich für die Verarbeitung von besonderen Kategorien personenbezoge- 
ner Daten. Die Vorschrift stützt sich laut Gesetzesbegründung auf Art. 9 Abs. 2 
lit. j DSGVO.” Dieser fordert, den Wesensgehalt des Rechts auf Datenschutz 
aus Art. 8GRCh zu wahren sowie angemessene und spezifische Maßnahmen 
zur Wahrung der Grundrechte vorzusehen. Der Gesetzgeber will dieser Vor- 
gabe durch den Verweis auf $ 22 Abs. 2 Satz 2 BDSG-neu Rechnung tragen. 33 
Dabei wird jedoch kritisiert, dass die in ṣș 22 Abs. 2 Satz 2 BDSG-neu geforderten 
Maßnahmen „weitgehend ohnehin“ von der Grundverordnung gefordert wer- 
den und der deutsche Gesetzgeber durch Verweis auf einen unverbindlichen 
Beispielkatalog von Maßnahmen die besonderen Garantien, die Art. 89 Abs. ı 
Satz 2 DSGVO fordert, nicht ausreichend erfüllt. + 


$ 27 Abs. 2 BDSG-neu ist nicht auf besondere Kategorien personenbezogener 
Daten beschränkt, sondern gilt für alle Datenkategorien. Nach $ 27 Abs. 2 
Satz ı BDSG-neu ist eine Einschränkung der Rechte aus Art. 15, 16, 18 und 21 
DSGVO möglich, sofern absehbar ist, dass diese die Verwirklichung der 
Forschungszwecke „unmöglich machen oder ernsthaft beeinträchtigen“. 
Zudem muss die Beschränkung für die Erfüllung der Forschungszwecke „not- 
wendig“ sein. Damit hält sich der deutsche Gesetzgeber eng an den Wort- 
laut des Art. 89 Abs. 2DSGVO und übernimmt diesen mit nur kleinen Anpas- 
sungen.?s 


310 „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“ 

311 S. Kap. 3.5. 

312 BT-Drs. 18/11325, S. 99. 

313 BT-Drs. 18/11325, 99. 

314 Johannes/Richter, DuD 2017, 300 (302f.). 

315 Dies wohl, um die Einhaltung der strengen (s. Kühling/Martini u.a. 2016, S. 298) Anforderungen des Art. 89 
Abs. 2 DSGVO zu garantieren. 
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Nach s 27 Abs. 2 Satz 2 BDSG-neu besteht das Auskunftsrecht aus Art. 15 DSGVO 
zudem nicht, wenn die Auskunftserteilung einen unverhältnismäßigen Auf- 
wand erfordern würde. Die vom Auskunftsrecht ausgenommenen Daten müs- 
sen zudem für die Zwecke der wissenschaftlichen Forschung erforderlich sein. 
Der Gesetzgeber versucht mit dieser Regelung, $$ 33 Abs. 2 Satzı Nr. 5 i.V.m. 
34 Abs. 7 sowie $ 19a Abs. 2 Nr. 2 BDSG a.F. in das neue Bundesdatenschutz- 
gesetz herüber zu retten. Er beruft sich dabei auf Art. 23 Abs. ı lit. i DSGVO. 36 


$ 27 Abs. 3 und 4 BDSG-neu sind eine Übertragung von $ 40 Abs. 2 und 3 BDSG 
a.F. in das neue Bundesdatenschutzgesetz. #7 $ 27 Abs. 3 BDSG-neu ist insoweit 
unionsrechtswidrig als er die Anforderung der Anonymisierung auf besonde- 
re Kategorien personenbezogener Daten beschränkt, statt sie wie Art. 89 Abs. ı 
Satz 4 DSGVO auf alle Forschungsdaten zu erstrecken. *8 


4.2 Begriff der „wissenschaftlichen Forschungszwecke“ 


Die Datenverarbeitung für „wissenschaftliche Forschungszwecke“ erfährt in 
der Datenschutz-Grundverordnung neben den Zwecken der Archivierung im 
öffentlichen Interesse und den Zwecken der Statistik eine besondere Behand- 
lung, die ihr datenschutzrechtlich einen größeren Handlungsspielraum ein- 
räumt. Eine Definition, was unter „wissenschaftlichen Forschungszwecken“ 
zu verstehen ist, fehlt jedoch in der Datenschutz-Grundverordnung. Der Be- 
griff der „Forschungseinrichtung“, wie ihn s 40 BDSG a.F. kennt, kommt in 
der Grundverordnung nicht vor. Eine bestimmte Eigenschaft des Verarbei- 
ters ist damit durch die Grundverordnung nicht gefordert; für eine Inan- 
spruchnahme der Sonderregelungen reicht es aus, dass Daten für wissen- 
schaftliche Forschungszwecke verarbeitet werden. ° Dem Zweck der Verarbei- 
tung kommt damit eine noch zentralere Rolle zu als bisher. 


4.2.1 „Wissenschaftliche Forschungszwecke“ in der Datenschutz- 
Grundverordnung 


Anhaltspunkte für die Auslegung des Begriffs „wissenschaftliche Forschungs- 
zwecke“ gibt Erwägungsgrund 159 DSGVO: 


„Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu wis- 
senschaftlichen Forschungszwecken gelten. Die Verarbeitung personenbezogener 


316 BT-Drs. 18/11325, 99; a.A. Johannes/Richter, DuD 2017, 300 (303): $ 27 Abs. 2 Satz 2 BDSG-neu genüge den 
Anforderungen von Art. 23 Abs. 2 DSGVO nicht, könne aber auf Art. 89 Abs. 2 DSGVO gestützt werden. 

317 BT-Drs. 18/11325, S. 100. 

318 S. Kap. 3.2.2. 

319 Damit unterfallen anders als nach $ 40 BDSG a.F. - s. Gola/Schomerus, $ 40 Rn. 7 - auch „Einzelforscher“ den 
entsprechenden Regelungen und Privilegierungen der Datenschutz-Grundverordnung. 

320 Kritisch zu diesem Ansatz Simitis, in: ders., $ 40 Rn. 35. 
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Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte 
weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische 
Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte For- 
schung und die privat finanzierte Forschung einschließen. Darüber hinaus sollte sie 
dem in Artikel 179 Absatz ı AEUV festgeschriebenen Ziel, einen europäischen Raum 
der Forschung zu schaffen, Rechnung tragen. Die wissenschaftlichen Forschungs- 
zwecke sollten auch Studien umfassen, die im öffentlichen Interesse im Bereich der 
öffentlichen Gesundheit durchgeführt werden. Um den Besonderheiten der Verarbei- 
tung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu genü- 
gen, sollten spezifische Bedingungen insbesondere hinsichtlich der Veröffentlichung 
oder sonstigen Offenlegung personenbezogener Daten im Kontext wissenschaftlicher 
Zwecke gelten. Geben die Ergebnisse wissenschaftlicher Forschung insbesondere im 
Gesundheitsbereich Anlass zu weiteren Maßnahmen im Interesse der betroffenen 
Person, sollten die allgemeinen Vorschriften dieser Verordnung für diese Maßnahmen 
gelten.“ 


4.2.1.1 Merkmale des Begriffs 


Der Begriff ist im Einklang mit dem sonstigen europäischen und auch dem 
deutschen Recht weit auszulegen, womit dem weiten Schutzumfang von 
Art. 13 GRCh Rechnung getragen wird." Dieser Feststellung in Erwägungs- 
grund 159 Satz 2 DSGVO folgt ein Beispielkatalog, demzufolge die Verarbeitung 
personenbezogener Daten zu wissenschaftlichen Forschungszwecken die Ver- 
arbeitung für die technologische Entwicklung und die Demonstration, die 
Grundlagenforschung, die angewandte Forschung und die privat finanzierte 
Forschung einschließt. Auch im begrifflichen Ansatz des Art. 179 AUEV, auf 
den Erwägungsgrund 159 DSGVO verweist, ist unerheblich, ob ökonomisch 
verwertbares Wissen generiert wird oder nicht.” 


Dennoch bedingt wissenschaftliche Betätigung „wesensgemäß“ sowohl im 
deutschen? wie auch im europäischen?” Verständnis Unabhängigkeit und 
Selbstständigkeit. Nach Schneider zeichnet sich wissenschaftliche Forschung 
durch die „Freiheit von sachfremden Erwägungen“ aus. „Hierunter ist die Un- 
abhängigkeit der Forschung in inhaltlicher Hinsicht zu verstehen. “»s Eine 
„scheinwissenschaftliche Begründung vorgegebener Ergebnisse“ ist wie schon 
im geltenden Datenschutzrecht’* nicht erfasst. Die Vorgabe des Forschungs- 


321 Buchner/Tinnefeld, in: Kühling/Buchner, Art. 89 Rn. 13. 

322 Ruffert, in: Calliess/Ruffert, Art. 179 AEUV, Rn. 1; s. zu Art. 179 AEUV auch Hornung/Hofmann, ZD-Beila- 
ge 4/2017,1 (4). 

323 Scholz, in: Maunz/Dürig, Art. 5 Abs. 3 Rn. 99. 

324 Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 7: „[W]issenschaftlicher Fortschritt mit seinem Nutzen für das 
Gemeinwesen kann nur von freier Wissenschaft erwartet werden“. 

325 Schneider 2015, 97. 

326 Schneider 2015, 98. 
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gegenstands durch einen Auftraggeber ist jedoch unschädlich. Damit sind 
etwa auch Auftragsforschung, Industrieforschung und gutachterliche For- 
schung erfasst.” Die Reichweite der wissenschaftlichen Forschungszwecke 
erstreckt sich auch auf vorbereitende und unterstützende Aktivitäten. 8 Zu- 
dem sind nach Erwägungsgrund 159 Satz 4 DSGVO auch Studien umfasst, die 
im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchge- 
führt werden. Damit sind auch Forschungsvorhaben der Krankenkassen und 
Kassenärztlichen Vereinigungen erfasst, die $ 287 SGB V datenschutzrechtlich 
regelt. Ferner ist zwischen Forschung, die aufgrund von Primärerhebungen, 
und Forschung, die aufgrund von Sekundärerhebungen durchgeführt wird, 
zu unterscheiden. 3° Bei letzterer sind die Regeln zur Zweckänderung zu be- 
achten. Nicht dem Begriff der wissenschaftlichen Forschung unterfällt zudem 
die reine Anwendung bereits gewonnener Erkenntnisse.» Werden wissen- 
schaftliche Standards lediglich zu Aufsichts- und Kontrollzwecken verwendet, 
fällt dies ebenfalls nicht unter den Forschungsbegriff der Verordnung, auch 
wenn sie nach wissenschaftlichen Methoden durchgeführt werden. 3 


Sachliche Überschneidungen gibt eszwischen „Forschungszwecken“ und „sta- 
tistischen Zwecken“.® Die Grundverordnung fordert hier aber eine Abgren- 
zung, denn sie geht „offensichtlich davon aus, dass Forschungszwecke und 
statistische Zwecke zwei unterschiedliche Dinge sind“. »* Nicht als Forschungs- 
zwecke können statistische Verarbeitungen gelten, die „zwar neue, aber kei- 
ne neuartigen Erkenntnisse liefern“. 5 Die kommerzielle Marktforschung ist 
damit aber nicht per se ausgeschlossen; vielmehr kommt es auf eine Abwä- 
gung im Einzelfall an. 36 


4.2.1.2 Veröffentlichungsabsicht 


Nicht enthalten ist im Begriff der „wissenschaftlichen Forschungszwecke“ 
eine Pflicht oder Absicht zur Veröffentlichung der erzielten Forschungsergeb- 
nisse, wie von Schneider gefordert.” Eine derartige Pflicht kann schon vor 
dem Hintergrund eines möglichen Scheiterns ergebnisoffener Forschung 


327 So auch Schneider 2015, 98. 

328 Jarass 2016, Art. 13 Rn. 7; Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 8. 

329 S. z.B. Hornung, in: Hänlein/Schuler, $ 287 Rn. 2ff. 

330 So Raum, in: Ehmann/Selmayr, Art. 89 Rn. 18. 

331 Johannes, in: Roßnagel 2018, $ 7 Rn. 247. 

332 Johannes, in: Roßnagel 2018, $ 7 Rn. 247. 

333 Johannes/Richter, DuD 2017, 300 (301). 

334 Johannes/Richter, DuD 2017, 300 (301). 

335 Johannes/Richter, DuD 2017, 300 (301). 

336 Grages, in: Plath, Art. 89 DSGVO, Rn. 6; a.A. Hornung/Hofmann, ZD-Beilage 4/2017, 1 (14), die Markt- und 
Meinungsforschung grundsätzlich als vom Begriff der „wissenschaftlichen Forschung“ erfasst ansehen. 

337 Schneider 2015, 98. Die Veröffentlichung von Forschungsergebnissen zählt aber etwa zu den Dienstpflichten 
eines Universitätsprofessors - s. BVerfGE 47, 327 (375f.). 
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nicht gefordert werden. 38 Zu Art. 5 Abs. 3 GG ist zudem anerkannt, dass Wis- 
senschaftler „selbst den Zeitpunkt bestimmen können, wann sie ein bestimm- 
tes Forschungsergebnis oder eine bestimmte Lehrmeinung veröffentlichen“. 39 
Dies dürfte auch für Art. 13 GRCh gelten. Dieser zählt zwar die Publikation von 
Forschungsergebnissen zu seinem Schutzbereich, dies verdichtet sich jedoch 
nicht zu einer Veröffentlichungspflicht. Geschützt ist der individuelle Er- 
kenntnisgewinn des Wissenschaftlers. Dieser muss nicht notwendigerweise 
geteilt werden. Dennoch sind der Austausch und die Veröffentlichung von 
Forschungsergebnissen vor dem Hintergrund der gesellschaftlichen Kompo- 
nente der Wissenschaftsfreiheit unerlässlich. Daraus ergibt sich ein Span- 
nungsfeld, das dem zwischen der Notwendigkeit gelebter Demokratie einer- 
seits und dem Fehlen einer Wahlpflicht sowie einer Pflicht zur Teilnahme am 
demokratischen Diskurs" andererseits gleicht. Auch eine von Beginn an be- 
stehende Veröffentlichungsabsicht ist deshalb nicht erforderlich.» Die Ver- 
öffentlichungsabsicht kann jedoch eine Rolle bei der Abwägung zwischen den 
Interessen des Verarbeiters personenbezogener Daten und denen der betroffe- 
nen Person spielen. 3? Sie kann nämlich positiv zugunsten des Verarbeiters in 
Form eines Indizes für die Wissenschaftlichkeit des Verarbeitungszwecks wir- 
ken, aber auch negativ, wenn die Veröffentlichung personenbezogene Daten 
enthalten soll. Dies spielt freilich nur dann eine Rolle, wenn die Veröffentli- 
chung tatsächlich zu Forschungszwecken verarbeitete personenbezogene 
Daten enthalten soll. 


Die Forderung einer Veröffentlichungspflicht oder zumindest einer Veröffent- 
lichungsabsicht ist auch aus datenschutzrechtlicher Sicht wenig praktikabel. 
Käme es zu keiner Veröffentlichung der durch die Verarbeitung personenbe- 
zogener Daten erzielten Forschungsergebnisse, so lägen die Voraussetzungen 
für die Sonderbehandlung der Datenverarbeitung rückwirkend betrachtet 
nicht vor. Da aber eine Freiheit bezüglich des Veröffentlichungszeitraums be- 
steht, ergäbe sich die Frage, ab wann davon auszugehen ist, dass die Sonder- 
behandlung unzulässiger Weise in Anspruch genommen wurde, mithin ab 
wann Sanktionen verhängt werden können. Zudem würde durch die Forde- 
rung etwa ein großer Teil der Forschung im Bereich der Landesverteidigung 


338 So letztlich auch Schneider 2015, 98: „Ist die Aussagekraft, also das Evidenzniveau, sehr gering, wird man keine 
Veröffentlichung fordern können. Umgekehrt wird man aber auch keine höchste Evidenz für eine Veröffent- 
lichungspflicht fordern können, denn auch die Wissenschaft ist in der Regel ein iterativer, arbeitsteiliger 
Prozess.“ 

339 BVerfGE 47, 327 (383). Schneider 2015, 98: „Auch einem eventuellen Sponsor der Forschung wird man einen 
gewissen Spielraum zugestehen können, gerade wenn dies für die vorherige Erlangung von Patentschutz für 
eine Erfindung notwendig ist.“ 

340 S. Geminn, VerwArch 2016, 601 (609, 613). 

341 So aber Schneider 2015, 98: „Sollen die Ergebnisse der Forschung, unabhängig von ihrer wissenschaftlichen 
Qualität, ggf. aber unabhängig von ihrem Inhalt, langfristig geheim gehalten werden, so fällt die entsprechen- 
de Tätigkeit ... nicht in den Schutzbereich der Wissenschaft.“ 

342 So auch Weichert 2014, https://www.datenschutzzentrum.de/vortraege/20120328-weichert-medizinische-for- 
schung.html. 
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von einer Sonderbehandlung ausgeschlossen. Dieser Bereich unterliegt aller- 
dings ohnehin Öffnungsklauseln der Datenschutz-Grundverordnung. Aber 
auch die kommerzielle Forschung wird oftmals an einer Geheimhaltung von 
Forschungsergebnissen interessiert sein. 


4.2.2 „Wissenschaftliche Forschungszwecke“ vs. „wissenschaftliche Zwecke“ 


Abzugrenzen sind „wissenschaftliche Forschungszwecke“ vom Begriff der 
„wissenschaftlichen Zwecke“, wie ihn die Datenschutzrichtlinie verwendet. 
Der Begriffswechsel wurde bewusst und auf Drängen des Europäischen Parla- 
ments vorgenommen, um eine Einschränkung auf „Forschungszwecke im 
engeren Sinne“ vorzunehmen. 3# 


Der Begriff der Richtlinie galt „in Zeiten von Big Data und Data Mining“ als 
zu weit. Daher soll der in der Datenschutz-Grundverordnung der engere Be- 
griff der Forschungszwecke verwendet werden. Allerdings wird auch ange- 
zweifelt, ob angesichts des weiten Verständnisses der wissenschaftlichen For- 
schungszwecke die mit dem Begriffswechsel verbundene „Restriktionserwar- 
tung“ tatsächlich erfüllt wird.»s Ein „weiter“ Forschungszweck „im engeren 
Sinne“ scheint ein nicht auflösbarer Widerspruch zu sein. Vereinzelt wird die 
Formulierung gar mit Blick auf den übergeordneten Begriff von „Wissen- 
schaft“ im Vergleich zu „Forschung“ für „sinnlos“ gehalten. 36 


Die Datenschutz-Grundverordnung verwendet in Art. 5 Abs. 1 lit. b und e, in 
Art. 17 Abs. 3 lit. c, Art. 9 Abs. 2 lit. j, Art. 14 Abs. 5 lit. b, Art. 21 Abs. 6 und 
Art. 89 Abs. 2 DSGVO den Begriff der wissenschaftlichen Forschungszwecke, 
verwendet in Art. 85 und Erwägungsgrund 156 DSGVO dagegen die aus der 
Datenschutzrichtlinie bekannte» Formulierung „wissenschaftliche Zwe- 
cke“.38 Ebenfalls aus der Datenschutzrichtlinie bekannt ist die Verwendung 
von „Zwecke der wissenschaftlichen Forschung“ in Art. 11 Abs. 2 und 13 Abs. 2 
DSRL. Diese findet sich in der Verordnung lediglich in Erwägungsgrund 33 
DSCVO. 


Diese inkonsequente Begriffsnutzung der Grundverordnung bezogen auf die 
Verarbeitung personenbezogener Daten im wissenschaftlichen Kontext er- 
schwert eine Festlegung über die von Erwägungsgrund 159 DSGVO genannten 
Beispiele. Vornehmlich verwendet die Verordnung die Begriffspaarung „wis- 


343 Albrecht/Jotzo, Teil 3 Rn. 71. 

344 Albrecht/Jotzo, Teil 3 Rn. 71. So auch Simitis, in: ders., $ 40 Rn. 35: Weite Definitionen „bieten sich daher als 
ein ebenso bequemes wie wirksames Umgehungsmittel des Datenschutzes förmlich an“; es sei deshalb eine 
restriktive Interpretation erforderlich. 

345 So Hense, in: Sydow, Art. 89 Rn. 15. 

346 So Pötters, in: Gola, Art.89 Rn. 13. 

347 Art. 6 Abs. 1 UAbs. 1 lit. b und e DSRL. In der englischen Sprachfassung: „scientific purposes“ (lit. b) und „scien- 
tific use“ (lit. e). 

348 Dies erscheint wenig einleuchtend - so Pötters, in: Gola, Art. 89 Rn. 13. 
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senschaftliche oder historische Forschungszwecke“.» Zugleich macht sie 
durch die getrennte Adressierung von „wissenschaftlichen Forschungszwe- 
cken“ in Erwägungsgrund 159 DSGVO und „historischen Forschungszwecken“ 
in Erwägungsgrund 160 DSGVO deutlich, dass eine getrennte Behandlung der 
Begriffe erforderlich ist. Allein verwendet wird das Begriffspaar „wissenschaft- 
liche Forschungszwecke“ neben Erwägungsgrund 159 DSGVO auch in den Fr- 
wägungsgründen 157 und 162 DSGVO. Der Begriff der „Forschungszwecke“ 
taucht auch ohne Adjektiv auf, namentlich in Erwägungsgrund 26 DSGVO. Es 
istdavon auszugehen, dass es sich bei letzterem lediglich um eine sprachliche 
Verkürzung handelt. 


Fraglich ist nun zunächst, ob der von der dominierenden Sprachwahl („wis- 
senschaftliche Forschungszwecke“ und „wissenschaftliche und historische 
Forschungszwecke“) abweichenden Formulierung in Art. 85 Abs. 2 DSGVO%° 
und Erwägungsgrund 156 Satz 7 DSGVO („wissenschaftliche Zwecke“) tatsäch- 
lich eine Bedeutung zukommt. Wo die deutsche Fassung von „Verarbeitung, 
die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen 
oder literarischen Zwecken erfolgt“ spricht, ist die englische Sprachfassung 
nuancierter und spricht von „processing carried out for journalistic purposes 
or the purpose of academic, artistic or literary expression“. Das im Begriff „ex- 
pression“ enthaltene Element der Meinungsäußerung fehlt in der deutschen 
Übersetzung, ist aber in anderen Sprachfassungen enthalten. >® Damit klärt 
sich auch das „verwirrende“:® Verhältnis zwischen Art. 85 Abs. ı und Art. 89 
Abs. 2 DSGVO. Des Weiteren erklärt sich so die Weite: der Öffnungsklausel 
des Art. 85 Abs. 2DSGVO. Sie ist nur vor dem Hintergrund ihrer Einengung im 
Wissenschaftskontext auf „academic expression“ und der Bedeutung der 
freien Meinungsäußerung in einer demokratischen Gesellschaft verständlich. 
Die deutsche Übersetzung ist an dieser Stelle schlicht missglückt. Die abwei- 
chende Wortwahl in Art. 85 Abs. 2DSGVO ist damit kein redaktioneller Fehler, 
sondern ihr kommt eine einengende Wirkung der Öffnungsklausel zu. 


Für Erwägungsgrund 156 Satz 7 DSGVO gibt es keine derartigen Abweichungen 
zwischen den verschiedenen Sprachfassungen der Grundverordnung. Warum 
Erwägungsgrund 156 DSGVO in den Sätzen ı bis 6 von „wissenschaftlichen und 


349 S. Erwägungsgründe 50, 52, 53, 62, 65, 113 und 156 DSGVO. 

350 Dieser ist im Gegensatz zu Art. 89 Abs. 2 DSGVO als Regelungsauftrag, nicht als Regelungsoption ausgestaltet; 
Pötters, in: Gola, Art. 85 Rn. 14; Kühling/Martini u.a. 2016, 292f. 

351 Z.B. in der französischen, die von „fins d'expression universitaire, artistique ou littéraire“ spricht oder in der 
italienischen: „espressione accademica, artistica o letteraria“. 

352 Pötters, in: Gola, Art. 85 Rn. 13. 

353 Auch im Vergleich zu Art. 9 DSRL. Abweichungen und Ausnahmen von weiten Teilen der Vorgaben der Grund- 
verordnung sind durch die Mitgliedstaaten vorzusehen (Regelungsauftrag), „wenn dies erforderlich ist, um das 
Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informations- 
freiheit in Einklang zu bringen“. S. auch Kühling/Martini u.a. 2016, S. 292. Relativierend wirkt lediglich Er- 
wägungsgrund 153 DSGVO, der von einer Verarbeitung zu „ausschließlich“ wissenschaftlichen Zwecken spricht; 
s. Buchner/Tinnefeld, in: Kühling/Buchner, Art. 85 Rn. 14. 
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historischen Forschungszwecken“ spricht, in Satz 7 dann aber von „wissen- 
schaftlichen Zwecken“ verwundert zunächst mit Blick aufden ursprünglichen 
Kommissionsentwurf® zur Grundverordnung wo im dortigen Äquivalent zu 
Erwägungsgrund 156 Satz 7 DSGVO von „Zwecken der wissenschaftlichen For- 
schung“ gesprochen wird. s Im Parlamentsentwurf>® existiert keine entspre- 
chende Vorschrift; der Ratsentwurf3? spricht schließlich von „wissenschaft- 
lichen Zwecken“. 358 Es ist daher davon auszugehen, dass der sprachlichen Ab- 
weichung in diesem Fall keine inhaltliche Bedeutung zukommt. 


4.3 Ergebnis zur Regelung wissenschaftlicher Forschungszwecke 


Für den Sprachwechsel von „wissenschaftlichen Zwecken“ in der Datenschutz- 
richtlinie hin zu „wissenschaftlichen Forschungszwecken“ in der Daten- 
schutz-Grundverordnung wird in der Literatur durchgehend die oben ange- 
führte Erklärung, eine Einschränkung auf „Forschungszwecke im engeren 
Sinne“ vornehmen zu wollen, akzeptiert. Es ist naheliegend, deshalb tat- 
sachlich zunächst von einer im Vergleich zur Datenschutzrichtlinie unter- 
schiedlichen inhaltlichen Reichweite der verwendeten Begriffe auszugehen. 
Die „wissenschaftlichen Forschungszwecke“ sind zwar weit auszulegen, mit 
Blick auf den Forschungsbegriff der Grundrechtecharta ist aber die bloße An- 
wendung bereits gewonnener Kenntnisse nicht erfasst. Die angewandte 
Forschung ist jedoch erfasst. Abzustellen ist auf den Primärzweck der jewei- 
ligen Untersuchung im Einzelfall. Ist die wissenschaftliche Zielsetzung ledig- 
lich eine Ergänzung zu anderen Zielsetzungen, so fällt die Untersuchung nicht 
unter den Begriff der wissenschaftlichen Forschung, auch wenn wissenschaft- 
liche Standards eingehalten werden. 


Letztlich ändert sich der rechtliche Status quo durch die sprachliche Verände- 
rung nicht; die genannten Merkmale wurden auch bereits in den Begriff „wis- 
senschaftliche Zwecke“ hineingelesen. Vor dem Hintergrund der zunehmen- 
den Verfügbarkeit von Big Data-Analysen, ist die mit der Datenschutz-Grund- 
verordnung vorgenommene Präzisierung dennoch grundsätzlich zu begrüßen. 
Ob sie tatsächlich tauglicher ist, einer nicht-intendierten Ausweitung des 
Wissenschaftsbegriffs die Grundlage zu entziehen und eine ungewollte Son- 
derbehandlung von Big Data zu verhindern, als die Vorgängerformulierung 
der Datenschutzrichtlinie, bleibt aber fragwürdig. So hält etwa Simitis auch 


354 KOM(2012) 11 endgültig. 

355 S. Erwägungsgrund 125 DSGVO-E-KOM. 

356 Beschluss des Europäischen Parlaments vom 12. März 2014, 7427/1/14, REV 1. 
357 Rat der Europäischen Union, 9565/15. 

358 Erwägungsgrund 125 DSGVO-E-Rat. 

359 Albrecht/Jotzo, Teil 3 Rn. 71. 

360 Jarass 2016, Art. 13 Rn. 6; Johannes, in: Roßnagel 2018, $ 4 Rn. 247. 

361 Johannes, in: Roßnagel 2018, $ 4 Rn. 247. 
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den Begriff der „wissenschaftlichen Forschung“ für unpräzise.3® Aus einer 
streng dogmatischen und verfassungstechtlichen Sicht, ist Forschung ohne- 
hin der Teil der Wissenschaft, der nicht Lehre und akademische Freiheit ist. 38 
Die „wissenschaftliche Forschung“ wäre damit eine Tautologie und die Be- 
grenzung auf „wissenschaftliche Forschungszwecke“ würde letztlich lediglich 
„wissenschaftliche Lehrzwecke“ ausschließen. Dies ist jedoch erkennbar 
nicht die Zielsetzung der Anpassung der Formulierung beim Wechsel von der 
Datenschutzrichtlinie zur Datenschutz-Grundverordnung. 


Immerhin leistet die Formulierung „wissenschaftliche Forschungszwecke“ 
eine deklaratorische Klarstellung, dass nicht die bloße Anwendung wissen- 
schaftlicher Methoden eine Sonderbehandlung rechtfertigen kann; Forschung 
muss Primärziel der Verarbeitung personenbezogener Daten sein. Dies war 
indes aber bereits für die Vorgängerformulierung anerkannt. 


Die von Schneider formulierten Kriterien behalten im Wesentlichen auch mit 
der Datenschutz-Grundverordnung ihre Gültigkeit. Eine Pflicht oder Absicht 
zur Veröffentlichung ist jedoch nicht zu fordern. 


362 Simitis, in: ders. 2014, $ 40 Rn. 35; a.A. Schneider 2015, 97, der in dem Prädikat „wissenschaftlich“ eine Präzisie- 
rung des Forschungsbegriffs sieht. Diese Ansicht kann mit Blick auf das Verhältnis der Begriffe „Wissenschaft“ 
und „Forschung“ zueinander nicht überzeugen. 

363 S. Ruffert, in: Calliess/Ruffert, Art. 13 GRCh, Rn. 5. 

364 S. Johannes, in: Roßnagel 2017, $ 4 Rn. 59. 
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zum Wohl der betroffenen Person 


Das folgende Kapitel beantwortet die Forschungsfrage 4.5: 


Der Bundesrat hat in seinem Beschluss zum DSAnpUG-EU (Vgl. Ziff. 27 Lit. d), 
BR-Drucksache 110/17 v. 10.03.2017) für die Behandlung im weiteren Gesetzgebungs- 
verfahren die Frage aufgeworfen, inwieweit ein Ausschluss der Auskunftserteilung 
neben den in $27 BDSG-E genannten Voraussetzungen nach objektiven Kriterien auch 
aus therapeutischen sowie ethischen Erwägungsgründen zum Wohl der betroffenen 
Person möglich sein sollte. Prüfen Sie bitte auf welcher verfassungs- und europarecht- 
lichen Grundlage solche Ausnahmen von den Auskunftsrechten für wissenschaftliche 
Forschungsvorhaben vorgenommen werden können. 


Dem Recht auf Auskunft kommt eine zentrale Rolle im Datenschutzrecht zu. 
Nurüber das Auskunftsrecht kann der Betroffene tatsächlich überprüfen, „wer 
was wann und bei welcher Gelegenheit“ über ihn weiß.3% Dennoch wird das 
Auskunftsrecht weder im geltenden noch im neuen Datenschutzrecht schran- 
kenlos gewährt. 


365 BVerfGE 65, 1 (43). 
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5.1 Auskunftserteilung nach Art. 15 DSGVO 


Das Recht auf Auskunft in Art. 15 DSGVO ist im Wesentlichen? deckungs- 
gleich mit seinem Vorgänger aus der Datenschutzrichtlinie und seiner Um- 
setzung im bisherigen Bundesdatenschutzgesetz. Das Auskunftsrecht ist 
zweitstufig aufgebaut. Auf Antrag der betroffenen Person ist der Verantwort- 
liche verpflichtet, diese darüber zu informieren, ob er personenbezogene 
Daten der betroffenen Person verarbeitet. Ist dies der Fall, so sind der betrof- 
fenen Person bestimmte Informationen über die Umstände der Verarbeitung 
und ihrer Rechte gegenüber dem Verantwortlichen?” zur Verfügung zu stellen. 
Hierzu findet sich in Art. 15 Abs. ı Hs. 2 lit. a bis h DSGVO ein abschließender 
Katalog. Werden personenbezogene Daten an ein Drittland oder an eine inter- 
nationale Organisation übermittelt, treten nach Art. 15 Abs. 2DSGVO weitere 
Informationen zu den geeigneten Garantien nach Art. 46 DSGVO hinzu. Nach 
Art. 15 Abs. 3 DSGVO ist der betroffenen Person zudem eine Kopie der sie be- 
treffenden personenbezogenen Daten zur Verfügung zu stellen. Die Rechte 
und Freiheiten anderer Personen dürfen durch das Recht nach Abs. 3 nicht 
beeinträchtigt werden. Erwägungsgrund 63 DSGVO nennt hier beispielhaft 
Geschäftsgeheimnisse und Rechte des geistigen Eigentums. Die Feststellung, 
welche Rechte überwiegen, bedarf einer Abwägung im Einzelfall. 


Das Recht auf Auskunft bildet die Basis für die Überprüfung der Rechtmäßig- 
keit der Verarbeitung durch den Betroffenen.:% Ohne Auskunftsrecht sind die 
ihm nachfolgenden Rechte auf Berichtigung, Löschung, Einschränkung der 
Verarbeitung, Datenübertragbarkeit und Widerspruch oftmals faktisch nicht 
wahrnehmbar. 


Erwägungsgrund 63 DSGVO erläutert, dass die Ausübung des Auskunftsrechts 
auf angemessene Abstände beschränkt sein soll. Gesundheitsbezogene Daten 
sind ausdrücklich vom Auskunftsrecht erfasst. 


Die Form der Bereitstellung ist in Art. 15 Abs. 3 DSGVO geregelt. Wird der An- 
trag auf Auskunft elektronisch gestellt, so ist bei der Bereitstellung ein „gän- 
giges elektronisches Format“ zu wählen. Dem Antragsteller steht es aber 
frei, ° ein anderes Format zu verlangen, sofern in der Wahl des Formats kein 
Missbrauch des Auskunftsrechts liegt." Erwägungsgrund 63 DSGVO fordert 
ferner die Einrichtung eines Fernzugangs. 


366 S. zu den Abweichungen im Detail Hohmann/Miedzianowski, in: Roßnagel 2018, § 4 Rn. 7, 14. 

367 Namentlich die Rechte aus Art. 16, 17, 18, 21 und 79 DSGVO. 

368 Art. 15 Abs. 4 DSGVO. 

369 Ehmann, in: Ehmann/Selmayr, Art. 15 Rn. 1. 

370 Ob teilweise (so Bäcker, in: Kühling/Buchner, Art. 15 Rn. 31) oder vollumfänglich ist dabei umstritten. 

371 Franck, in: Gola, Art. 15 Rn. 23, 27. Bei exzessiven Anträgen kann der Verantwortliche Nach Art. 12 Abs. 5 Satz 2 
DSGVO sich wahlweise weigern, tätig zu werden, oder ein angemessenes Entgelt verlangen. 
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Die weiteren Modalitäten der Ausübung des Auskunftsrechts finden sich in 
Art. 12 DSGVO. So hat die Mitteilung gemäß Art. 15 DSGVO durch den Verant- 
wortlichen etwa nach Art. 12 Abs. 1 Satz ı DSGVO „in präziser, transparenter, 
verständlicher und leicht zugänglicher Form in einer klaren und einfachen 
Sprache“ zu erfolgen.” Die Auskunft muss nach Art. 12 Abs. 5 DSGVO unent- 
geltlich erfolgen. 


5.2 Auskunftserteilung nach Art. 8 Abs. 2 Satz 2 GRCh 


Das Recht auf Auskunft aus Art. 15 DSGVO ergibt sich unmittelbar aus Art. 8 
Abs. 2 Satz 2 GRCh, der ein solches Recht primärrechtlich etabliert. Da die 
Charta jedoch jünger ist als die Datenschutzrichtlinie, kann Satz 2 auch als 
primärrechtliche Bestätigung von Art. 12 lit. a DSRL gelesen werden. > 


Der Europäische Gerichtshof hat festgestellt, dass es zur Wahrung des Aus- 
kunftsrechts nach Art. 8 Abs. 2 Satz 2 GRCh genügt, dass der Antragsteller 
„eine vollständige Übersicht dieser Daten in verständlicher Form erhält, d.h. 
ineiner Form, die esihm ermöglicht, von diesen Daten Kenntnis zu erlangen 
und zu prüfen, ob sie richtig sind und der RL gemäß verarbeitet werden, so- 
dass er ggf. die ihm in der RL verliehenen Rechte ausüben kann. “ys 


Eine Einschränkung des Auskunftsrechts ist möglich nach der allgemeinen 
Einschränkungsklausel des Art. 52 Abs. ı GRCh. Die Einschränkung muss ge- 
setzlich vorgesehen sein und den Wesensgehalt der Rechte und Freiheiten der 
Charta achten. Sie muss verhältnismäßig und erforderlich bezogen auf die 
Ziele des Gemeinwohls und den Schutz der Rechte und Freiheiten anderer sein. 


Ein Ausschluss des Rechts auf Auskunft kommt aufgrund seiner zentralen Be- 
deutung „nur beizwingenden und sehr gewichtigen Gemeinwohlgründen in 
Betracht“. 376 


Solche zwingenden und sehr gewichtigen Gemeinwohlgründe können in 
Grundrechten Dritter bestehen. Hier geht es aber um den Schutz von Grund- 
rechten der betroffenen Person selbst. Als solche Grundrechte kommen das 
Grundrecht auf körperliche und geistige Unversehrtheit nach Art. 3 Abs. ı 
GRCh?7 und eventuell das Grundrecht auf „Nichtwissen“ infrage, »® wenn man 


372 Gebot der Genauigkeit und Verständlichkeit; Bäcker, in: Kühling/Buchner, Art. 12 Rn. 11. 

373 Franck, in: Gola 2017, Art. 15 Rn. 2; Ehmann, in: Ehmann/Selmayr, Art. 15 Rn. 2. 

374 Bernsdorff, in: Meyer 2014, Art. 8 Rn. 23. 

375 EuGH, Urteil v. 17.7.2014 - C-141/12 und (-372/12, ECLI:EU:C:2014:2081, Rn. 60 - YS. 

376 Jarass 2016, Art. 8 Rn. 16. 

377 S. z.B. Jarass 2016, Art. 3 Rn. 5. 

378 S. zum deutschen Verfassungsrecht im Kontext genetischer Informationen Trute, in: Roßnagel 2003, Kap. 2.5 
Rn. 59ff., der dieses Recht der informationellen Selbstbestimmung und dem Persönlichkeitsrecht zuordnet. 
Ob dieses ohne Weiteres auf die Grundrechtecharta übertragen werden kann, bedürfte ausführlicher Unter- 
suchungen. 
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dieses als Konkretisierung des Grundrechts auf Menschenwürde in Art. 1GRCh 
verstehen wollte.» Diese beiden Grundrechte können mit dem Grundrecht 
auf Datenschutz konkurrieren, das in Art. 8 Abs. 2 Satz 2 GRCh das Grundrecht 
auf Auskunft über die eigenen, von anderen verarbeiteten Daten gewährleis- 
tet. Einen Ausgleich zwischen seinen eigenen Grundrechten herbeizuführen, 
fällt in die Entscheidungsfreiheit des Einzelnen und lässt eine gesetzliche Re- 
gelung nicht zu. Dadurch löst sich der Konflikt zwischen dem Wunsch nach 
Nichtwissen und dem Wunsch nach Auskunft. Hier kann der Verantwortliche 
nachfragen, ob die betroffene Person tatsächlich diese Auskunft möchte, die 
für sie belastend oder schädlich sein könnte. Die grundrechtliche Lösung kann 
aber nur darin bestehen, die betroffene Person diese Frage entscheiden zu 
lassen. In einem Konflikt zwischen Auskunft und körperliche Unversehrtheit 
ist die Lösung grundsätzlich auf die gleiche Weise zu suchen. Dies legt auch 
Art. 3 Abs. 2 lit. a GRCh nahe, der die Entscheidung in Gesundheitsfragen 
der betroffenen Person überlässt und die freie Einwilligung des Betroffenen 
nach vorheriger Aufklärung zur Voraussetzung jedes Heileingriffs macht. 
Lediglich wenn die betroffene Person objektiv nicht in der Lage ist, diese 
Entscheidung verständig zu treffen, könnte eine Verweigerung der Auskunft 
trotz Antrags der betroffenen Person vorgesehen werden. Fraglich ist, ob eine 
solche Ausnahme des Auskunftsanspruchs bereits dem geltenden Recht ent- 
nommen werden kann oder ob ein Gesetzgeber eine solche Ausnahme einfüh- 
ren kann. 


5.3 Beschränkung der Auskunft nach $ 27 Abs. 2 BDSG 


$ 27 Abs. 2 BDSG-neu enthält zwei Möglichkeiten zur Beschränkung des Rechts 
auf Auskunft nach Art. 15 DSGVO, 


Das Auskunftsrecht aus Art. 15 DSGVO ist nach Maßgabe von $ 27 Abs. 2 Satz ı 
BDSG-neu insoweit beschränkt, als diese Rechte voraussichtlich die Verwirk- 
lichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernst- 
haft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungs- 
oder Statistikzwecke notwendig ist. $ 27 Abs. 2 Satz ı BDSG-neu ist dabei 
sprachlich eng an Art. 89 Abs. 2 DSGVO angelehnt. 


$ 27 Abs. 2 Satz2 BDSC-neu enthält eine weitere Einschränkung des Auskunfts- 
rechts. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, „wenn 
die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und 
die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern 
würde“. 


379 Dies ist bisher allerdings weder von der Rechtsprechung des EuGH noch von der Kommentarliteratur zur GRCh 
erfolgt. 
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Wie bereits oben festgestellt, versucht der Gesetzgeber mit dieser Regelung 
$ 33 Abs. 2 Satz ı Nr. 5i.V.m. $ 34 Abs. 7 sowie $ 19a Abs. 2 Nr. 2 BDSG a.F. in 
das neue Bundesdatenschutzgesetz zu übertragen. ® Er beruft sich dabei auf 
Art. 23 Abs. ı lit. i DSGVO.:# 


Auf verfassungsrechtlicher Ebene ergibt sich das Recht auf Auskunft aus dem 
Recht auf informationelle Selbstbestimmung. Bezogen auf Krankenunterla- 
gen etwa hat das Bundesverfassungsgericht festgestellt, dass sich ein An- 
spruch aufEinsicht aus dem Recht auf Selbstbestimmung und der personalen 
Würde des Patienten ergibt.>® Es zählt zu den verfahrensrechtlichen Schutz- 
vorkehrungen des Rechts aufinformationelle Selbstbestimmung. 3 Aufgrund 
der verfassungsrechtlichen Dimension des Auskunftsrechts sind seinen Be- 
schränkungen hohe Hürden gesetzt. Eine Beschränkung ist „allenfalls aus 
triftigen Gemeinwohlgründen oder zum Schutze Dritter“ möglich.“ Eine Aus- 
kunftsbeschränkung zum Wohl der betroffenen Person ist damit aus verfas- 
sungsrechtlicher Sicht bei Beachtung der hohen Hürden grundsätzlich mög- 
lich. 


5.4 Beschränkung der Auskunftserteilung zum Wohl 
der betroffenen Person 


Nach Erwägungsgrund 2 DSGVO soll die Datenschutz-Grundverordnung zum 
Wohlergehen natürlicher Personen beitragen. Das Wohl des Betroffenen wird 
sonst an keiner Stelle in der Verordnung explizit angesprochen. 


Fraglich ist, ob ein Ausschluss der Auskunftserteilung nach Art. 15 DSGVO 
auch aus therapeutischen sowie ethischen Erwägungsgründen zum Wohl der 
betroffenen Person möglich ist. Der Bundesrat hatte im Rahmen des Gesetz- 
gebungsverfahrens zum Gesetz zur Anpassung des Datenschutzrechts an die 
Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 da- 
rum gebeten, zu prüfen, ob ein solcher Ausschluss Aufnahme in das Gesetz 
finden sollte. Die Bundesregierung hatte angekündigt, „die Vorschläge des 
Bundesrates im Bereich von Wissenschaft und Forschung im weiteren Ver- 
fahren“ zu prüfen. Sie hat den Vorschlag aber letztlich nicht übernommen. 


380 BT-Drs. 18/11325, S. 99. 

381 BT-Drs. 18/11325, S. 99. A.A. Johannes/Richter, DuD 2017, 300 (303): $ 27 Abs. 2 Satz 2 BDSG-neu genüge den 
Anforderungen von Art. 23 Abs. 2 DSGVO nicht, könne aber auf Art. 89 Abs. 2 DSGVO gestützt werden. 

382 BVerfG, NW 1999, 1777. 

383 Di Fabio, in: Mainz/Dürig 2016, Art. 2 Rn. 178. 

384 Di Fabio, in: Mainz/Dürig 2016, Art. 2 Rn. 178. 

385 BR-Drs. 110/17 (B) vom 10. März 2017, 25, Nr. 27 lit. d: „Der Bundesrat bittet im weiteren Gesetzgebungsver- 
fahren zu prüfen, inwieweit ein Ausschluss der Auskunftserteilung neben den in $ 27 BDSG-E genannten Voraus- 
setzungen nach objektiven Kriterien auch aus therapeutischen sowie ethischen Erwägungsgründen zum Wohl 
der betroffenen Person aufgenommen werden sollte.“ 

386 Gegenäußerung der Bundesregierung, BT-Drs. 19/11655, 53. 


219 


II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


5.4.1 Beschränkung zum Wohl Dritter 


Möglich ist ein Ausschluss des Rechts aus Art. 15 Abs. 3 DSGVO auf Bereitstel- 
lung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbei- 
tung sind. Dieses darf nach Art. 15 Abs. 4 DSGVO die Rechte und Freiheiten 
anderer Personen nicht beeinträchtigen. Damit ist zunächst eine Beschrän- 
kung des Auskunftsanspruchs aus therapeutischen und ethischen Erwägungs- 
gründen zum Wohl Dritter möglich. 


Darüber hinaus ist eine Beschränkung des Auskunftsrechts nach Art. 23 Abs. ı 
lit. i Alt. 2 DSGVO zum Schutz der Rechte und Freiheiten anderer Personen 
möglich. 


5.4.2 Beschränkung zum Wohle des Betroffenen 


Direkt aus Art. 15 DSGVO ergibt sich jedoch keine mit Art. 15 Abs. 4 DSGVO ver- 
gleichbare Beschränkung zum Wohl der betroffenen Person selbst. Art. ı5 
DSGVO kann aber nach Maßgabe von Art. 23 Abs. ı DSGVO durch Rechtsvor- 
schrift der Union oder eines Mitgliedstaats# eingeschränkt werden. Jede Be- 
schränkung muss dabei den Wesensgehalt der Grundrechte und Grundfreihei- 
ten achten und eine in einer demokratischen Gesellschaft notwendige und 
verhältnismäßige Maßnahme darstellen. Dies entspricht im Wesentlichen 
Art. 52 Abs. ı GRCh. Darüber hinaus enthält Art. 23 Abs. ıDSGVO einen Katalog 
von Zielen, die eine Beschränkung grundsätzlich rechtfertigen können. Die 
Voraussetzungen des Art. 23 DSGVO müssen kumulativ vorliegen. 3% Der Kata- 
log der Ziele, die eine Beschränkung rechtfertigen können, ist abschließend. 


Zusätzlich sind die Vorgaben zu beachten, die der Europäische Gerichtshofin 
seiner Rechtsprechung entwickelt hat.3® Diese entsprechen letztlich dem, was 
auch die Verordnung selbst fordert: 


= Klarheit und Präzision der beschränkenden Vorschrift, 

= Garantien für den Schutz der Rechte des Betroffenen, 

= Achtung des Wesensgehalts der relevanten Grundrechte und 
= Notwendigkeit der Einschränkung. 


Bezogen auf die Ausgangsfrage kommt hier primär Art. 23 Abs. ı lit. iDSGVO 
in seiner ersten Alternative in Betracht. Danach ist eine Beschränkung unter 
den genannten Voraussetzungen möglich, sofern diese den Schutz der betrof- 
fenen Person sicherstellt. Diese Voraussetzung ist äußerst weit gefasst und 
entspricht wörtlich der Regelung des Art. 13 Abs. ı lit. gDSRL. Aber auch die 
in den Buchstaben a bis h und j genannten Zielen dienen letztlich dem Wohl 


387 Bezogen auf die Gesetzgebungsmaßnahme sind zusätzlich die Vorgaben von Art. 23 Abs. 2 DSGVO zu beachten. 
388 Bertermann, in: Ehmann/Selmayr, Art. 23 Rn. 3. 
389 S. insbesondere EuGH, Urteil vom 6.10.2015, C-362/14. ECLI:EU:C:2015:650, Schrems. 
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der betroffenen Person. Auf grundrechtlicher Ebene findet Art. 23 Abs. 1 lit. i 
DSGVO seine Rechtfertigung unter anderem in Art. 3 Abs. ı GRCh. 


Zur Vorgängerregelung in Art. 13 Abs. ı lit. g DSRL wurde gefordert, die Be- 
schränkung dürfe nicht dazu führen, dass „unter dem Gesichtspunkt des Be- 
troffenenschutzes dessen grundrechtliche Position ad absurdum geführt 
wird“. > Dies ist auch für Art. 23 Abs. ı lit. i DSGVO zu fordern. Ein auch im 
Kontext von Art. 23 DSGVO relevantes Beispiel liefert Erwägungsgrund 42 
DSRL, wo es heißt, die Mitgliedstaaten können das Auskunftsrecht im Inter- 
esse der betroffenen Person in der Art beschränken, dass „Auskunft über me- 
dizinische Daten nur über ärztliches Personal erhalten werden kann“, 


5.4.3 Beschränkung nach $ 6309 BGB 


Ein Beispiel für eine mit Art. 23 Abs. ı lit. i DSGVO kompatible Beschränkung 
stellt bereits jetzt $ 630g BGB dar. Dieser enthält in $ 630g Abs. 1 BGB ein Recht 
auf unverzügliche Einsichtnahme in die Patientenakte im Kontext von Be- 
handlungsverträgen i.S.v. $ 630a BGB. Dieses wird jedoch nur gewährt, „so- 
weit der Einsichtnahme nicht erhebliche therapeutische Gründe entgegen- 
stehen“. :” Die Ablehnung ist zu begründen.” Umfasst vom Einsichtsrecht des 
Patienten sind auch „Niederschriften über persönliche Eindrücke und subjek- 
tive Wahrnehmungen des Behandelnden“.» Erhebliche therapeutische Grün- 
de sollen etwa dann vorliegen, wenn die Ausübung des Rechts auf Einsicht- 
nahme zu einer „erheblichen gesundheitlichen (Selbst-)Schädigung des Pa- 
tienten“ führen könnte. Sie sind sorgfältig für jeden Einzelfall zu ermitteln 
und auf konkrete und substantiierte Anhaltspunkte zu stützen. Im Zweifel 
ist für die Auskunft zu entscheiden. Eine paternalistische Bevormundung 
des Patienten durch den Behandelnden ist ausdrücklich nicht erwünscht. 37 


Nach $ 630g Abs. 1 Satz 3 BGB ist $ 811 BGB anzuwenden. Dieser besagt, dass 
die Vorlegung der Patientenakte an dem Ort zu erfolgen hat, an welchem sie 
sich befindet. Ausnahmen von diesem Grundsatz sind im Einzelfall aber 
möglich. 


390 Ehmann/Helfrich 1999, Art. 13 Rn. 76. 

391 $ 630g Abs. 1 Satz 1 BGB. 

392 $ 630g Abs. 1 Satz 2 BGB. 

393 BT-Drs. 17/10488, 27. Das Persönlichkeitsrecht des Behandelnden soll nur in Ausnahmefällen einen Ausschluss 
rechtfertigen können; Wagner, in: MüKo BGB, $ 630g Rn. 8. 

394 BT-Drs. 17/10488, 26. Dies soll etwa dann der Fall sein, wenn der Patient durch die Einsichtnahme „zum Selbst- 
mord veranlasst würde“; BVerwGE 82, 45. Die Schwelle ist also hoch angesetzt. 

395 BT-Drs. 17/10488, 26f. 

396 Wagner, in: MüKo BGB, $ 630g Rn. 10. 

397 BT-Drs. 17/10488, 26; Wagner, in: MüKo BGB, $ 630g Rn. 11. 

398 Ein Ortswechsel kann nur aus „wichtigem Grund“ verlangt werden; $ 811 Abs. 1 Satz 2 BGB. Ein solcher soll 
etwa „bei einer nicht unerheblichen Erkrankung des Patienten“ oder bei einem Umzug des Behandelnden“ 
vorliegen; BT-Drs. 17/10488, 27. 
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Anzumerken ist, dass vor einer vollständigen Verweigerung der Einsichtnah- 
me eine partielle Verweigerung als milderes Mittel zu prüfen ist.3 Zudem 
kommen die „durch den Behandelnden unterstützte oder auch begleitende 
Einsichtnahme“ oder die Vermittlung durch eine dritte Person ebenfalls als 
milderes Mittel in Betracht. Ferner ist der Rechtsgedanke des 5 603e Abs. 5 
BGB zu beachten, wonach auf den Entwicklungsstand und die Verständnis- 
möglichkeit sowie auf das Wohl des Patienten Rücksicht zu nehmen ist.+ 
Eine vollständige Verweigerung der Einsichtnahme dürfte damit auf wenige 
Extremfälle beschränkt sein. 4 


Zu dem Recht auf unverzügliche Einsichtnahme in die Patientenakte aus 
$ 630g Abs. ı BGB tritt in $ 630 Abs. 2Satzı BGB ein Recht auf Erhalt physischer 
oder elektronischer Abschriften der Patientenakte. Hier gelten dieselben Ein- 
schränkungsmöglichkeiten wie im Falle der Einsichtnahme. Der Anspruch 
auf eine bestimmte Form der Abschriften soll jedoch auf Fälle beschränkt sein, 
in denen der Patient ein berechtigtes Interesse an dieser hat. +3 


$ 630 Abs. 3 BGB enthält Regelungen zur Wahrnehmung der Rechte aus Abs. ı 
und 2 im Falle des Todes des Patienten durch Erben und nächste Angehörige. 


Das Auskunftsrecht nach s 630g BGB kann durch individuelle Parteivereinba- 
rung, nicht aber durch allgemeine Geschäftsbedingungen ausgeschlossen 
werden. %4 


Es zeigt sich mit Blick auf $ 630g BGB, dass der Einschränkung der Auskunfts- 
erteilung aus therapeutischen und ethischen Erwägungsgründen zum Wohl 
der betroffenen Person im Falle von Gesundheitsdaten hohe Hürden gesetzt 
sind. Jedes Ersuchen ist als individueller Einzelfall umfassend zu prüfen, so- 
fern tatsächlich eine Ablehnung in Betracht kommt. Insbesondere kann nicht 
jede potenzielle Schädigung des Betroffenen durch die Einsichtnahme als 
Rechtfertigungsgrund dienen; diese muss vielmehr erheblich sein und etwa 
der Suizid des Betroffenen drohen. Im Extremfall kann sich ein Schädigungs- 
potenzial sogar zu einem Beschränkungsgebot verdichten. 


Die verfassungsrechtlichen Grundlagen für $ 630g BGB hat das Bundesverfas- 
sungsgericht 2006 in einem Beschluss aufgearbeitet.‘ Das Recht aus $ 630g 
BGB dient vornehmlich dem Recht des Patienten auf informationelle Selbst- 
bestimmung.° Die vom Gericht aufgearbeiteten Grundlagen lassen sich abs- 
trahieren und auf andere Sachverhalte übertragen. Auf diese Weise wurden 


399 So der Umkehrschluss aus BT-Drs. 17/10488, 26. 

400 BT-Drs. 17/10488, 27. 

401 Wagner, in: MüKo BGB, $ 630g Rn. 5. 

402 Sie ist allenfalls ultima ratio; Wagner, in: MüKo BGB, $ 630g Rn. 12. 
403 Wagner, in: MüKo BGB, $ 630g Rn. 20. 

404 Wagner, in: MüKo BGB, $ 630g Rn. 30. 

405 BVerfG, Beschluss vom 9.1.2006 - 2 BvR 443/02, N)W 2006, 1116. 
406 BT-Drs. 17/10488, 26; Wagner, in: MüKo BGB, $ 630g Rn. 4. 
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bereits auf nationaler Ebene Einsichtsrechte in Pflegeunterlagen” und in die 
im Kontext der Teilnahme an einer Lehranalyse angefertigten Dokumenta- 
tion anerkannt.‘ Auch eine Übertragung auf das Auskunftsrecht aus Art. 8 
GRCh ist möglich, soweit dieses dem aus dem Recht aufinformationelle Selbst- 
bestimmung abgeleiteten Recht wesensgleich ist. Insofern kann $ 630g BGB 
als eine mit Art. 23 Abs. ı lit. i DSGVO vereinbare Ausfüllung der Öffnungs- 
klausel angesehen werden. 


5.4.4 Beschränkung im Kontext wissenschaftlicher Forschung 


Fraglich ist, ob eine solche Beschränkung auch im Kontext von wissenschaft- 
lichen Forschungsvorhaben möglich wäre. 


Die Datenschutz-Grundverordnung will die Verarbeitung von personenbezo- 
genen Daten im wissenschaftlichen Kontext bevorzugen und enthält deshalb 
mit Art. 85 Abs. 2 DSGVO eine Öffnungsklausel, die im Vergleich zu Art. 23 
Abs. ıDSGVO deutlich weitreichendere* Abweichungen und Ausnahmen von 
den Vorgaben der Verordnung durch die Mitgliedstaaten ermöglicht. Eine Ein- 
engung findet aber wiederum durch die Verwendung des Begriffspaars „aca- 
demic expression“ statt.*" Hier steht die Meinungsäußerung im Vordergrund. 
Eine Beschränkung des Auskunftsrechts zu wissenschaftlichen Forschungs- 
zwecken kann deshalb nicht auf Art. 85 Abs. 2 DSGVO gestützt werden. 


Infrage käme aber Art. 89 Abs. 2 DSGVO, der zwar Ausnahmen von den Rech- 
ten aus Art. 15 DSGVO ermöglicht, dies aber nur insoweit, „als diese Rechte 
voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich ma- 
chen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung 
dieser Zwecke notwendig sind“. Dies ist bei einer Beschränkung der Auskunfts- 
erteilung aus therapeutischen und ethischen Erwägungsgründen zum Wohl 
der betroffenen Person nicht der Fall. Eine derartige Beschränkung muss des- 
halb auf Art. 23 Abs. ı DSGVO gestützt werden und kann nicht an der Bevor- 
zugung der wissenschaftlichen Forschung teilhaben. 


Eine Beschränkung wäre aber nach Art. 23 Abs. ı lit. i DSGVO möglich, sofern 
die Hürden entsprechend hoch angesetzt werden und die Beschränkung als 
Ultima Ratio ausgestaltet wäre.*? Da auch hier auf erhebliche Schäden des 
Betroffenen durch die Offenlegung ihm selbst gegenüber abzustellen ist, dürf- 
te eine solche Beschränkung faktisch nur auf Gesundheitsdaten Anwendung 


407 BGHZ 185, 74. 

408 BGH, Urteil vom 7.11.2013 - III ZR 54/13. 

409 S. Wagner, in: MüKo BGB, $ 630g Rn. 31f. 

410 Pötters, in: Gola 2017, Art. 85 Rn. 16. 

411 S. Kap. 4.2. 

412 S. auch Bäcker, in: Kühling/Buchner, Art, 23 Rn. 30, der Art. 23 Abs. 1 lit. Alt. 1 DSGVO „allenfalls einen äußerst 
schmalen Anwendungsbereich“ zugesteht. 
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finden. Unabhängig davon kann das Auskunftsrecht aber auch im Kontext 
wissenschaftlicher Forschung durch Individualvereinbarung ausgeschlossen 
werden. #3 


Eine Beschränkung der Auskunftserteilung aus therapeutischen und ethi- 
schen Erwägungsgründen zum Wohl der betroffenen Person im Kontext von 
wissenschaftlichen Forschungsvorhaben ist also durchaus denkbar, müsste 
aber auf einer konkreten Rechtsvorschrift beruhen. Eine solche Rechtsvor- 
schrift enthält das neue Bundesdatenschutzgesetz nicht. Sie könnte mit Blick 
auf die verfassungsrechtlichen und unionsrechtlichen Vorgaben allerdings 
geschaffen werden. Da Einschränkungen des Auskunftsrechts nach Art. 23 
Abs. ı DSGVO nur im Wege von Gesetzgebungsmaßnahmen möglich sind, 
wäre eine entsprechende Rechtsvorschrift auch angezeigt. Der Begriff der Ge- 
setzgebungsmaßnahme ist vor dem Hintergrund von Art. 52 Abs. ı GRCh#+ 
jedoch weit auszulegen, sodass er etwa auch Richterrecht umfasst; ein for- 
melles Gesetz ist nicht erforderlich.*s 


Denkbar wäre deshalb auch eine analoge Anwendung von $ 6308 BGB im Kon- 
text wissenschaftlicher Forschungsvorhaben. Dies gründet darauf, dass $ 630g 
BGB nicht als abschließende Regelung konzipiert ist und nicht auf die Akten- 
einsicht im Rahmen von Behandlungsverträgen beschränkt ist.*° Eine ana- 
loge Anwendung des $ 630g BGB findet etwa bezogen auf die Pflegedokumen- 
tation statt. Zudem ist eine analoge Anwendung auf Lehranalysen an- 
erkannt. #7 


5.5 Ergebnis zum Ausschluss der Auskunftserteilung zum Wohl 
der betroffenen Person 


Das Recht auf Auskunft in Art. 8 Abs. 2 Satz 2 GRCh und Art. 15 DSGVO ist im 
Wesentlichen deckungsgleich mit seinem Vorgänger aus der Datenschutz- 
richtlinie und seiner Umsetzung im bisherigen Bundesdatenschutzgesetz. Es 
bildet die Basis für die Überprüfung der Rechtmäßigkeit der Verarbeitung 
durch den Betroffenen. Beschränkungen des Auskunftsrechts - auch zum 
Wohl der betroffenen Person - sind nach Art. 52 GRCh und Art. 23 DSGVO mög- 
lich, aber in besonderem Maße begründungsbedürftig. Beschränkungsmög- 
lichkeiten für das Recht auf Auskunft enthält etwa $ 27 Abs. 2 BDSG-neu, die 
aber für eine Verweigerung der Auskunftserteilung zum Wohl der betroffenen 
Person nicht gelten. 


413 Zu Einschränkungsmöglichkeiten von Rechten der betroffenen Person s. Kap. 3.4.3. 
414 Borowsky, in: Meyer, Art. 52 Rn. 20f. 

415 S. auch Kühling/Martini u.a. 2016, 72; Bäcker, in: Kühling/Buchner, Art. 23 Rn. 35. 
416 Wagner, in: MüKo BGB, $ 630g Rn. 31. 

417 S. Mansel, in: Jauernig, $ 630g BGB, Rn. 2. S. auch bereits oben in Kap. 5.4.3. 


224 


5 Ausschluss der Auskunftserteilung zum Wohl der betroffenen Person 


Ein Ausschluss der Auskunftserteilung zum Wohl der betroffenen Person ist 
jedoch nach $ 630g BGB möglich. Diese Vorschrift ist mit Art. 23 Abs. ı lit. i 
DSGVO kompatibel. Dem Ausschluss sind dabei hohe Hürden gesetzt. 


Auch im Kontext von wissenschaftlichen Forschungsvorhaben ist eine ähn- 
liche Einschränkung - als Ultima Ratio - grundsätzlich möglich. Diese müss- 
te aber auf einer konkreten Rechtsvorschrift beruhen. Eine solche Rechtsvor- 
schrift existiert derzeit nicht, könnte aber geschaffen werden. Die Beschrän- 
kung muss aber auf Art. 23 Abs. ı DSGVO gestützt werden und kann nicht an 
der Bevorzugung der wissenschaftlichen Forschung durch die Grundverord- 
nung teilhaben. Unabhängig davon kann das Auskunftsrecht aber auch im 
Kontext wissenschaftlicher Forschung durch Individualvereinbarung ausge- 
schlossen werden. 
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Das folgende Kapitel beantwortet die Forschungsfrage 4.6: 


Nach dem Entwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen 
bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen 
(BR-Drucksache 163/17) soll $ 203 StGB in der Form geändert werden, dass die Weiter- 
gabe von Informationen an „mitwirkende Personen“ für einen Berufsgeheimnisträger 
(z.B. Arzt) straflos sein soll, wenn diese an der „beruflichen Tätigkeit“ des Berufsge- 
heimnisträgers mitwirken. Prüfen Sie bitte, ob eine Mitwirkung an einer Forschungs- 
tätigkeit eines Arztes auch als Mitwirkungshandlung im Sinne der neuen Rechtsvor- 
schrift verstanden werden kann. Gehen Sie bitte darauf ein, wie die „berufliche Tätig- 
keit“ eines Arztes auch mit Blick auf die EU-DSGVO und den bisherigen Rechtsrahmen 
definiert wird und ob Unterschiede zwischen der ärztlichen Tätigkeit in einem Uni- 
versitätskrankenhaus/sonstigem Krankenhaus und einer Arztpraxis besteht. 


Das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwir- 
kung Dritter an der Berufsausübung schweigepflichtiger Personen bewirkt in 
seinem Art. 1 eine wichtige Änderung des $ 203 StGB. *® 


418 S. Kap. 1. 
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6.1 Die Neuregelung des $ 203 StGB 


Ziel der Änderung des 5 203 StGB ist es, „die Möglichkeiten für Berufsgeheim- 
nisträger zu erweitern, sich im Rahmen ihrer beruflichen oder dienstlichen 
Tätigkeit ohne (straf-Jrechtliches Risiko der Mitwirkung dritter Personen zu 
bedienen“. # 


Strafbar macht sich nach $ 203 StGB, wer unbefugt ein fremdes Geheimnis 
offenbart, das ihm als Berufsgeheimnisträger im Sinn von Abs. 1 und 2 anver- 
traut worden oder sonst bekannt geworden ist. Für diese bestand in der Hin- 
zuziehung von Personen, die nicht ebenfalls der Strafbarkeit von $ 203 StGB 
unterfallen, ein rechtliches Risiko.*° Die herrschende Meinung ging davon 
aus, dass nicht einem eng auszulegenden Gehilfenbegriff unterfallende Per- 
sonen nicht zur Sphäre des Berufsgeheimnisträgers zählen*' und damit nicht 
am Vertrauensverhältnis teilnehmen. Andere argumentierten, der Begriff 
des berufsmäßig tätigen Gehilfen könne weit ausgelegt werden und umfasse 
etwa auch externe IT-Dienstleister.‘ Die Hinzuziehung insbesondere eines 
externen Dienstleisters barg mithin das Risiko einer Strafbarkeit nach $ 203 
StGB.*+ Zudem bestand kein strafrechtlicher Schutz für die externen Personen 
anvertrauten oder bekannt gewordenen Geheimnisse. 


Die zunehmende Nutzung von Informationstechnik macht es häufig aber er- 
forderlich, externe Fachkräfte hinzuzuziehen, die außerhalb der Sphäre des 
Berufsgeheimnisträgers stehen, beispielsweise zur Wartung der eingesetzten 
Technik. Dabei können diesen Personen jedoch fremde Geheimnisse offenbart 
werden. Zudem wird zunehmend die eigene Informationstechnik durch ex- 
terne Technik ergänzt, beispielsweise in Form des Cloud Computing. Der Weg 
über eine informierte Einwilligung des Berechtigten führte zwar zu einem 
Ausschluss der Strafbarkeit nach $ 203 StGB, #5 da in diesem Fall eine Befugnis 
vorliegt.*° Deren Einholung ist aber nicht immer möglich und mit Aufwand 


419 BT-Drs. 18/12940, 1. 

420 S. z.B. Behling u.a. 2015, 9ff., 15; Jandt/Roßnagel, MedR 2011, 140ff. 

421 Die Gesetzesbegründung sieht in der Einbindung externer Personen eine Überdehnung des Begriffs „Gehilfe“; 
BT-Drs. 18/11936, 18. Der Begriff sei der Gedanke eines „geschlossenen Geheimnisträgerkreises immanent“. „Ex 
terne Personen, die selbständig tätig sind oder die in den Betrieb eines Dritten eingebunden sind, sind deshalb 
regelmäßig keine Gehilfen“. 

422 So auch die Gesetzesbegründung, BT-Drs. 18/11936, 18; Lenckner/Eisele, in: Schönke/Schröder, $ 203 Rn. 19b; 
Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 21; Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 54, 56; 
bezogen auf Cloud-Anbieter Wicker 2016, 136ff. 

423 S. auch Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 38a, Gehilfe, sofern beim Outsourcing „die organi- 
satorische Anbindung der Datenverwalter an den Auftraggeber gewährleistet“ ist. Nach Cierniak/Niehaus, in: 
Müko StGB, $ 203 Rn. 129, Gehilfe, wenn die Aufträge „eine besonders enge Beziehung zum Aufgabenbereich 
des Schweigepflichtigen aufweisen“. 

424 S. etwa LG Flensburg, Urteil vom 5.7.2013 - 4 O 54/11; s. zum Outsourcing im Gesundheitsbereich Jandt/Roßna- 
gel/Wilke, NSR 2011, 641ff. 

425 S. z.B. Jandt/Roßnagel/Wilke, RDV 2011, 222 (228); Jandt/Roßnagel/Wilke, NSR 2011, 641. 

426 Man beachte aber den Streit, ob die Einwilligung das Tatbestandsmerkmal „unbefugt“ ausschließt oder die 
Rechtswidrigkeit entfallen lässt, s. hierzu Cierniak/Niehaus, in: MüKo StGB, § 203 Rn. 58ff. 
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verbunden. Zudem würde dieser Weg eine nach vorliegender Einwilligung 
und verweigerter Einwilligung differenzierte Datenverarbeitung erfordern. 
Auch die Annahme einer konkludenten Einwilligung*® barg rechtliche Risi- 
ken; die Weitergabe von Geheimnissen zu Forschungszwecken kann sie zudem 
nicht legitimieren.#° Zahlreiche Meinungsstreitigkeiten in der strafrechtli- 
chen Fachliteratur zu $ 203 StGB und fehlende obergerichtliche Rechtspre- 
chung zum Thema Outsourcing verkomplizierten die Sache weiter und sorgten 
für Rechtsunsicherheit.#° In der Praxis wurde teilweise versucht, die Proble- 
matik durch den Abschluss von Mehrfach-Arbeitsverhältnissen zu lösen. + 


Die Novelle des $ 203 StGB soll hier nun Rechtsklarheit für alle Beteiligten her- 
stellen und den Schutz von Privatgeheimnissen auch in einer digitalisierten 
Arbeitswelt garantieren. 


6.1.1 Der neue $ 203 StGB 


In $ 203 StGB wurde der bisherige Abs. 2a aufgehoben und durch die neuen 
Abs. 3 und 4 ersetzt. Diese lauten: 


„(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen ı 
und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen 
oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich ma- 
chen. Die in den Absätzen ı und 2 Genannten dürfen fremde Geheimnisse gegenüber 
sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit 
mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwir- 
kenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, 
wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen 
Tätigkeit der in den Absätzen ı und 2 Genannten mitwirken. 


(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbe- 
fugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit 
seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen ı und 2 ge- 
nannten Personen tätiger Beauftragter für den Datenschutz bekannt geworden ist. 
Ebenso wird bestraft, wer 


1. als in den Absätzen ı und 2 genannte Person nicht dafür Sorge getragen hat, dass eine 
sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Ge- 
legenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung 


427 Die Gesetzesbegründung nennt etwa die Archivierung von Altbeständen von Daten; BT-Drs. 18/11936, 18. Zu 
den Problemen der Einwilligung s. auch Behling u.a. 2015, S. 15; Pohle/Ghaffari, CR 2017, 489 (490); Wicker 
2016, S. 142f. 

428 S. hierzu Altenhain, in: Matt/Renzikowski 2013, $ 203 Rn. 35; Kargl, in: Kindhäuser/Neumann/Paeffgen 2017, 
§ 203 Rn. 21a; Cierniak/Niehaus, in: MüKo StGB 2012, $ 203 Rn. 56; Wicker 2016, 143. 

429 Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 67. 

430 Pohle/Ghaffari, CR 2017, 489 (489, 491); Jandt/Roßnagel/Wilke, NSR 2011, 641ff.; Preuß, DuD 2016, 802ff. 

431 Pohle/Ghaffari, CR 2017, 489 (491). 
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verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in 
den Absätzen ı oder 2 genannte Person sind, 


2. alsim Absatz3 genannte mitwirkende Person sich einer weiteren mitwirkenden Per- 
son, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit 
bekannt gewordenes Geheimnis offenbart, bedient und nicht dafür Sorge getragen hat, 
dass diese zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwir- 
kende Personen, die selbst eine in den Absätzen ı oder 2 genannte Person sind, oder 


3. nach dem Tod der nach Satz ı oder nach den Absätzen 1 oder 2 verpflichteten Person 
ein fremdes Geheimnis unbefugt offenbart, das er von dem Verstorbenen erfahren oder 
aus dessen Nachlass erlangt hat.“ 


Tatbestandlich fordern 5 203 Abs. ı und 2 StGB das unbefugte Offenbaren eines 
fremden Geheimnisses. Täter können die inAbs. ı und 2 aufgelisteten Personen 
sein, wenn ihnen das fremde Geheimnis im Rahmen ihrer Tätigkeit nach Abs. ı 
und 2 anvertraut oder sonst bekannt geworden ist. Unumstritten war das münd- 
liche Offenbaren. Im Falle verkörperter Geheimnisse war umstritten, ob wieim 
Falle des mündlichen Offenbarens eine tatsächliche Kenntnisnahme erforder- 
lich ist oder ob die bloße Möglichkeit der Kenntnisnahme ausreicht. + Die Ge- 
setzesbegründung enthält nun die Klarstellung, „dass ein Offenbaren bereits 
dann gegeben ist, wenn die Möglichkeit der Kenntnisnahme von Geheimnissen 
besteht“. Der Streit ist damit zugunsten eines weiten Offenbarungsbegriffs 
entschieden. Der Einsatz technischer Sicherungsmaßnahmen soll ein Offen- 
baren ausschließen können. ++ Damit kann letztlich auch das Unterlassen tech- 
nisch-organisatorischer Sicherungsmaßnahmen ein Offenbaren begründen. 


Nach s 203 Abs. 3 Satz ı StGB n.F. liegt kein Offenbaren vor, wenn den Abs. ı 
und 2 unterfallende Personen Geheimnisse berufsmäßig tätigen Gehilfen oder 
den ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich ma- 
chen. Im medizinischen Kontext ist dabei insbesondere an medizinische Fach- 
angestellte und medizinisch-technische Assistenten zu denken. Die Regelung 
hat primär eine klarstellende Funktion.#5 So wurde auch für $ 203 StGB a.F. 
als ganz herrschende Meinung angenommen, dass bei der Hinzuziehung von 
Hilfspersonen im beruflichen Kontext keine Offenbarung vorliegt, da die 
Hilfsperson „unmittelbar an dem konkreten Vertrauensverhältnis teil- 
nimmt“.#° Dabei wurde auch darauf abgestellt, dass die Hinzuziehung im 


432 Zum Streit s. Altenhain, in: Matt/Renzikowski, $ 203 Rn. 28f.; Pohle/Ghaffari, CR 2017, 489 (490). 

433 BT-Drs. 18/11936, 28. Das „intellektuelle Verstehen“ seitens des Dritten ist nicht erforderlich; Heger, in: Lack- 
ner/Kühl 2014, $ 203 Rn. 17. 

434 So Pohle/Ghaffari, CR 2017, 489 (491); Wicker 2016, S. 133f.; Hartung, VersR 2012, 400 (405); Lenckner/Eisele, in: 
Schönke/Schröder, $ 203 Rn. 19b. 

435 BT-Drs. 18/11936, 2. 

436 Lenckner/Eisele, in: Schönke/Schröder, $ 203 Rn. 19a; s. auch Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 53; 
Wicker 2016, S. 136. 
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Rahmen einer ordnungsgemäßen Berufsausübung erforderlich ist.#7 Dieses 
Merkmal findet sich so nicht im Wortlaut von s$ 203 Abs. 3 Satz 1 StGB n.F., 
dürfte jedoch auch in die neue Vorschrift hineinzulesen sein. Eine Erforder- 
lichkeit soll aber bereits dann gegeben sein, wenn der Berufsgeheimnisträger 
ein wirtschaftliches Interesse geltend machen kann. +8 


$ 203 Abs. 3 Satz 2 Hs. 1 StGB n.F. enthält eine Fallgruppe, in der zwar ein Of- 
fenbaren vorliegt, dieses aber erlaubt ist. Dies ist dann der Fall, wenn fremde 
Geheimnisse sonstigen Personen offenbart werden, die an der Tätigkeit des 
Offenbarenden mitwirken. Das Offenbaren muss für die Inanspruchnahme 
der Tätigkeit der sonstigen mitwirkenden Person erforderlich sein. 


Nach s 203 Abs. 3 Satz 2 Hs. 2 StGB n.F. ist ein Offenbaren auch dann erlaubt, 
wenn sonstige mitwirkende Personen sich weiterer Personen bedienen, die 
an der beruflichen oder dienstlichen Tätigkeit derin Abs. ı und 2 Genannten 
mitwirken. 


Die mitwirkenden Personen werden durch $ 203 Abs. 4 Satz ı StGB n.F. der 
Strafbarkeit nach $ 203 StGB unterworfen. 9 Strafbar macht sich zudem der 
Berufsgeheimnisträger, wenn er nicht dafür Sorge trägt, dass die sonstige 
mitwirkende Person zur Geheimhaltung verpflichtet wird, und diese ein Ge- 
heimnis unbefugt offenbart. Gleiches gilt für diemitwirkende Person, wenn 
sie sich weiterer Personen bedient.“*" Bestraft wird ferner, wer nach dem Tod 
einer zur Geheimhaltung verpflichteten ein Geheimnis unbefugt offenbart, 
das er von der verstorbenen Person oder aus deren Nachlass erfahren hat. + 


Zu beachten ist, dass der Berufsgeheimnisträger bereits durch Berufsrecht zur 
Verschwiegenheit verpflichtet sein kann. 


6.1.2 Verhältnis von $ 203 StGB und Datenschutzrecht 


$ 203 StGB dient zumindest auch dem Schutz des Rechts auf informationelle 
Selbstbestimmung. *3 


437 Lenckner/Eisele, in: Schönke/Schröder 2014, $ 203 Rn. 19a; Jandt/Roßnagel, MedR 2011, 140 (142). 

438 BT-Drs. 18/11936, 18. 

439 Die Gesetzesbegründung spricht von einer „Verlängerung“ des strafrechtlichen Geheimnisschutzes; BT- 
Drs. 18/11936, 20. 

440 $ 203 Abs. 4 Satz 2 Nr. 1 StGB n.F. Die Pflicht zur Verpflichtung zur Geheimhaltung entfällt, wenn die sonstige 
mitwirkende Person selbst Berufsgeheimnisträger ist. 

441 $ 203 Abs. 4 Satz 2 Nr. 2 StGB n.F. 

442 $ 203 Abs. 4 Satz 2 Nr. 3 StGB n.F. 

443 Zum Streit s. Altenhain, in: Matt/Renzikowski, $ 203 Rn. 1; Lenckner/Eisele, in: Schönke/Schröder, $ 203 Rn. 3; 
Tag, in: Dölling/Duttge/König/Rössner, $ 203 StGB, Rn. 3ff.; Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 
Rn. 2; Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 6; Weidemann, in: BeckOK StGB, $ 203 Rn. 2; Heger, in: 
Lackner/Kühl, $ 203 Rn. 1. 


231 


II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


Tatobjekt des $ 203 Abs. ı und Abs. 2 StGB ist das fremde Geheimnis. * Dabei 
kann essich um eine beliebige Tatsache handeln. Voraussetzung ist nach einer 
Auffassung lediglich, dass der Geheimnisträger an der Geheimhaltung der 
Tatsache ein sachlich begründetes Interesse hat oder haben würde. #5 Dies wird 
angenommen für gesundheitliche Verhältnisse, kann aber auch schon anzu- 
nehmen sein für die bloße Tatsache, dass sich jemand überhaupt in psycho- 
logischer oder ärztlicher Behandlung befindet, was ebenso für die Begleitum- 
stände einer Krankenhausaufnahme gelten kann. *° Nach anderer Ansicht 
liegt ein Geheimnis vor, wenn die Tatsache nur einem beschränkten Personen- 
kreis bekannt ist% und der Betroffene einen Geheimhaltungswillen hat. %8 
Dies wird aber mit dem Erfordernis eines schutzwürdigen*® Geheimhaltungs- 
interesses kombiniert. 45° 


Personenbezogene Daten sind nach Art. 4 Nr. ıDSGVO alle Informationen, die 
sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 
Dies bedeutet, dass nicht jedes personenbezogene Datum ein Geheimnis ist, 
jedoch handelt es sich bei jedem Geheimnis um ein personenbezogenes 
Datum.‘ Wird dieses personenbezogene Datum nach Art. 2 Abs. ıDSGVO ganz 
oder teilweise automatisiert verarbeitet oder zwar nichtautomatisiert verarbei- 
tet, aber in einem Dateisystem gespeichert oder wird diese Speicherung an- 
gestrebt, so ist ab dem 25. Mai 2018 grundsätzlich die Datenschutz-Grundver- 
ordnung anwendbar. Eine Verarbeitung ist dann nur unter den Voraussetzun- 
gen von Art. 6Abs. ı und eventuell Art. 9 Abs. 2 DSGVO rechtmäßig. Gesund- 
heitsdaten, in Art. 4 Nr. 15 DSGVO definiert als personenbezogene Daten, die 
sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, 
einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen 
und aus denen Informationen über deren Gesundheitszustand hervorgehen, 
sind dabei nach Art. 9 DSGVO als besondere Kategorie personenbezogener 
Daten besonders geschützt. 


Eine $ 1 Abs. 3 Satz 2 BDSG a.F. wortgleiche Entsprechung findet sich in sı 
Abs. 2 Satz 3 BDSG-neu. Danach bleibt die Verpflichtung zur Wahrung gesetz- 
licher Geheimhaltungsvorschriften durch das Bundesdatenschutzgesetz 


444 Zusätzlich ist $ 203 Abs. 2 Satz 2 StGB zu beachten, der unter bestimmten Umständen Einzelangaben über 

persönliche und sachliche Verhältnisse dem Geheimnis gleichstellt. 

445 Lenckner/Eisele, in: Schönke/Schröder, $ 203 Rn. 5, 7. 

446 Lenckner/Eisele, in: Schönke/Schröder, $ 203 Rn. 7. 

447 Als „faktisches Begriffselement“ Heger, in: Lackner/Kühl, $ 203 Rn. 14. 

448 Nach a.A. ist ein Geheimhaltungswille nicht erforderlich; so Weidemann, in: BeckOK StGB, $ 203 Rn. 4a; s. auch 

Altenhain, in: Matt/Renzikowski, $ 203 Rn. 19f., wonach der Geheimhaltungswille erst auf Ebene der Recht- 

fertigung relevant ist. S. auch Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 12ff. 

449 Im Sinn einer „objektiven Geheimhaltungswürdigkeit“ Heger, in: Lackner/Kühl, $ 203 Rn. 14. 

450 S. Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 21; Weidemann, in: BeckOK StGB, $ 203 Rn. 4a; Kargl, in: Kind- 

häuser/Neumann/Paeffgen, $ 203 Rn. 6b ff. 

451 So auch Altenhain, in: Matt/Renzikowski, $ 203 Rn. 17, der einen Personenbezug fordert und diesbezüglich auf 
6 3 Abs. 1 BDSG a.F. verweist; s. auch Heger, in: Lackner/Kühl, $ 203 Rn. 14: „Das Geheimnis muss personenbe- 
zogen sein. 
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unberührt. Datenschutzrecht und Strafrecht gelten nebeneinander. Sie ha- 
ben unterschiedliche Adressaten (Verantwortlicher und Arzt) sowie unter- 
schiedliche Schutzgüter (Patientengeheimnis und informationelle Selbst- 
bestimmung) und Schutzzwecke (Schutz vor Offenbarung und Schutz vor 
unzulässiger Verarbeitung).*? Daher besteht keine Kollision zwischen $ 203 
StGB und datenschutzrechtlichen Vorschriften im Sinne von $ ı Abs. 3 Satz ı 
BDSG a.F. 


Ist die Verarbeitung nach geltendem Datenschutzrecht rechtmäßig, so folgt 
daraus deshalb nicht, dass die Offenbarung nicht mehr unbefugt im Sinn von 
$ 203 Abs. 1 und 2 StGB ist, auch wenn die Übermittlung an den Empfänger 
aus datenschutzrechtlicher Sicht rechtmäßig ist. Es ist vielmehr eine geson- 
derte Offenbarungsbefugnis erforderlich. „Allgemeine datenschutzrechtliche 
Übermittlungsbefugnisse genügen grundsätzlich nicht“.** Anderes gilt aber 
im Falle von Übermittlungs- und Offenbarungspflichten, die sich auch aus 
dem Datenschutzrecht ergeben können. Liegt eine solche Pflicht vor, entfällt 
das Tatbestandsmerkmal des unbefugten Offenbarens. Zudem sollen auch be- 
reichsspezifische Datenschutzvorschriften für den Bereich der medizinischen 
Forschung anders als allgemeines Datenschutzrecht eine Befugnis zur Über- 
mittlung im Sinne von $ 203 StGB darstellen. +5 


Eine Verschränkung zwischen $ 203 StGB und dem Datenschutzrecht ergibt 
sich aus der Tatsache, dass auch ein Unterlassen geeigneter technisch-orga- 
nisatorischer Sicherungsmaßnahmen ein Offenbaren darstellen kann. Hier 
kann auf die Vorgaben des Art. 32 DSGVO zur Datensicherheit abgestellt wer- 
den, um Anhaltspunkte dafür zu finden, wo die Schwelle für ein strafbares 
Unterlassen liegt. Eine Parallele besteht zudem zwischen dem Erfordernis der 
Erforderlichkeit in $ 203 Abs. 3 Satz 2 n.F. und dem Grundsatz der Datenmini- 
mierung aus Art. 5 Abs. ı lit. c DSGVO. 


Die Befugnisse der Aufsichtsbehörden können nach Art. 90 Abs. ı DSGVO 
gegenüber Berufsgeheimnisträgern eingeschränkt werden. Der Gesetzgeber 
hat diese Möglichkeit durch s 29 Abs. 3 BDSG-neu genutzt. Hier spielt $ 203 
StGB eine konstituierende Rolle. Den dort genannten Personen gegenüber sind 
die Befugnisse der Aufsichtsbehörde eingeschränkt, „soweit die Inanspruch- 
nahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten 
dieser Personen führen würde“. $ 203 StGB ist damit letztlich auch Grundlage 
einer signifikanten datenschutzrechtlichen Bevorzugung. 


452 Pöttgen 2009, 222f.; Kilian, NIW 1998, 787 (787f.); s. auch Wronka, RDV 2017, 129 (131). 

453 Jandt/Roßnagel/Wilke, RDV 2011, 222 (228); Jandt/Roßnagel, MedR 2013, 17ff.; Preuß, DuD 2016, 802 (803). 

454 Altenhain, in: Matt/Renzikowski, $ 203 Rn. 38. 

455 Pöttgen 2009, 222f.: „Anders stellt sich die Lage jedoch bei den bereichsspezifischen Vorschriften des für den 
Bereich der medizinischen Forschung relevanten Datenschutzrechts dar, insbesondere bei den Landeskranken- 
hausgesetzen und den Krebsregistergesetzen. Die in diesen Gesetzen enthaltenen Übermittlungsregeln sind 
auf die Kollision mit der ärztlichen Schweigepflicht zugeschnitten und können deshalb im Rahmen des $ 203 
StGB als Rechtsfertigungsgründe herangezogen werden.“ 
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6.2 „Berufliche Tätigkeit“ des Berufsgeheimnisträgers und 
„mitwirkende Personen“ 


Das fremde Geheimnis muss dem Geheimnisträger in seiner beruflichen Tä- 
tigkeit anvertraut oder sonst bekannt geworden sein. Zudem ist fraglich, was 
unter dem Begriff der „mitwirkenden Personen“ zu verstehen ist, den der $ 203 
StGB neu einführt. 


6.2.1 „Berufliche Tätigkeit“ 


Das Tatobjekt des fremden Geheimnisses muss in beruflicher Eigenschaft er- 
langt worden sein - „sei es als Zweck oder Nebenfolge seiner Aufgabenerfül- 
lung“. *° Hier differenziert $ 203 StGB zwischen dem anvertrauten und dem 
sonst bekannt gewordenen fremden Geheimnis. Unter Anvertrauen wird „das 
Einweihen in ein Geheimnis unter ausdrücklicher Auflage des Geheimhaltens 
oder unter solchen Umständen, aus denen sich eine Verpflichtung zur Ver- 
schwiegenheit ergibt“#’ verstanden. Es ist mithin ein Vertrauensakt erforder- 
lich .+ Erforderlich ist zudem ein innerer Zusammenhang mit der Ausübung 
seines Berufs. Dies lässt sich aus den Anforderungen an das Wort „als“ in $ 203 
Abs. ı und 2 StGB ableiten. *® Ein Vertrag oder eine zivilrechtliche Sonderbe- 
ziehung ist nicht erforderlich; das Anvertrauen muss aber „in der Erwartung 
erfolgen, dass das Mitgeteilte im Sinne der funktionsgerechten Aufgabenstel- 
lung des Empfängers genutzt wird“. 45° 


Auch beim sonst bekannt gewordenen fremden Geheimnis wird ein innerer 
Zusammenhang zwischen der Aufgabenwahrnehmung des Geheimnisträgers 
und dem Bekanntwerden verlangt. + Es ist jedoch streitig, ob hier ebenso wie 
beim anvertrauten Geheimnis ein Vertrauensverhältnis erforderlich ist. +° 


Nicht zur beruflichen Tätigkeit des Berufsgeheimnisträgers gehören anders- 
artige Nebentätigkeiten. Was konkret zur beruflichen Tätigkeit gehört, soll 
sich „aus dem beruflichen Rollenbild des Täters ergeben“. Berufsfremd sind 
damit Tätigkeiten, „die überwiegend von anderen Personen professionell 
wahrgenommen werden. “+3 Nicht erfasst ist beispielsweise die Tätigkeit eines 
Arztes, der als Pharmareferent tätig wird. 46+ 


456 Altenhain, in: Matt/Renzikowski, $ 203 Rn. 23. 

457 Weidemann, in: BeckOK StGB, $ 203 Rn. 12. 

458 Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 48. 

459 Lenckner/Eisele, in: Schönke/Schröder, $ 203 Rn. 13; Tag, in: Dölling/Duttge/König/Rössner, $ 203 StGB, Rn. 40; 
Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 13f.; Heger, in: Lackner/Kühl, $ 203 Rn. 16. 

460 Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 14. 

461 Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 15. 

462 Zum Streit s. Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 16. 

463 Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 13. 

464 So Altenhain, in: Matt/Renzikowski, $ 203 Rn. 23. 
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6.2.2 „Mitwirkende Personen“ 


Der Begriff der „mitwirkenden Person“ wird mit der Novelle des $ 203 StGB neu 
in das Strafgesetzbuch eingeführt. Er ist ein Überbegriff und umfasst einer- 
seits den berufsmäßig tätigen Gehilfen und die beim Berufsgeheimnisträger 
zur Vorbereitung auf den Beruf tätigen Personen und andererseits die sonsti- 
gen mitwirkenden Personen. + 


6.2.2.1 Berufsmäßig tätige Gehilfen 


Mit der Novelle des 5 203 StGB ist der Streit um die Auslegung des Gehilfenbe- 
griffs bezogen auf externe Personen, die nicht in die Organisation des Berufs- 
geheimnisträgers eingebunden sind, entschieden: Diese unterfallen nicht 
dem Gehilfenbegriff. So heißt es in der Gesetzesbegründung: Berufsmäßig 
tätiger Gehilfe ist, „wer innerhalb des beruflichen Wirkungsbereichs des Be- 
rufsgeheimnisträgers eine auf dessen berufliche Tätigkeit bezogene unter- 
stützende Tätigkeit ausübt, welche die Kenntnis bzw. die Möglichkeit der 
Kenntnisnahme fremder Geheimnisse mit sich bringt“. 466 


Die Auslegung des Gehilfenbegriffs bezogen auf interne Personen war aber 
ebenfalls umstritten. Nach enger Auslegung sollte beispielsweise auch inter- 
nes EDV-Personal nicht zu den berufsmäßigen Gehilfen zählen, da anders als 
etwa bei der Krankenschwester hier kein innerer Zusammenhang zur Tätig- 
keit des Berufsgeheimnisträgers bestünde.*” Nach anderer Auffassung ist dies 
aber der Fall. Der Streit ist auch nach der Novelle des $ 203 StGB relevant, da 
er bestimmt, wann die Bevorzugung des $ 203 Abs. 3 Satzı StGB n.F. greift und 
wann auf $ 203 Abs. 3 Satz 2 StGB n.F. abzustellen ist. Konsens besteht bei der 
Notwendigkeit eines inneren Zusammenhangs*® zwischen der Arbeit des Ge- 
hilfen und der „eigentlichen Berufsausübung“#° des Geheimnisträgers. Rei- 
nigungskräfte, Fahrer und ähnliche Mitarbeiter werden deshalb übereinstim- 
mend nicht als berufsmäßig tätige Gehilfen gewertet. Hier werden lediglich 
die „außeren Bedingungen für die fragliche Berufstätigkeit“ geschaffen; „ihre 
eigentliche Aufgabe ist inhaltlich nicht hinreichend durch das Arbeitsgebiet 


465 S. BT-Drs. 18/11936, 21. 

466 BT-Drs. 18/11936, 18, 22. 

467 So Altenhain, in: Matt/Renzikowski, § 203 Rn. 11; Cierniak/Niehaus, in: MüKo StGB, § 203 Rn. 54, wonach etwa 
die Krankenhausverwaltung außenstehender Dritter sein soll. Angehörige des „technischen Personals“ sollen 
grundsätzlich ausgeschlossen sein; Cierniak/Niehaus, in: MüKo StGB, § 203 Rn. 124. 

468 So zählt etwa Tag, in: Dölling/Duttge/König/Rössner, § 203 StGB, Rn. 19 den EDV-Support durchaus zu den 
berufsmäßig tätigen Gehilfen. Gleiches gilt bei Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 38 für 
„organisatorisch eingebundene EDV-Betreuer“; s. auch Weidemann, in: BeckOK StGB, $ 203 Rn. 27. S. auch BGH, 
NJW 1995, 2419 (2420) zum Rechenzentrum eines Krankenhauses. 

469 S. aber auch Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 123, die von einem „unmittelbaren Zusammenhang“ 
sprechen. Weidemann, in: BeckOK StGB, $ 203 Rn. 27 fordert neben dem inneren Zusammenhang eine mit der 
Kenntnisnahme von Geheimnissen verbundene Tätigkeit. 

470 Heger, in: Lackner/Kühl, $ 203 Rn. 11b. 
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der betreffenden Einrichtung geprägt“. Ob die Tätigkeit ehrenamtlich oder 
tatsächlich berufsmäßig ausgeübt wird, soll trotz des Wortlauts keine Rolle 
spielen. Gefordert wird aber eine organisatorische Anbindung. 3 Dies stellt 
auch die Gesetzesbegründung klar, wonach „der Gehilfe nicht selbst seinen 
Beruf ausüben muss“, #* 


Die Gesetzesbegründung enthält einen Beispielkatalog von „mitwirkenden 
Tätigkeiten“. Darunter fallen neben Schreibarbeiten und Rechnungswesen 
auch IT-bezogene Tätigkeiten wie „Einrichtung, Betrieb, Wartung - ein- 
schließlich Fernwartung - und Anpassung informationstechnischer Anlagen, 
Anwendungen und Systeme aller Art“ sowie die „Bereitstellung von informa- 
tionstechnischen Anlagen und Systemen zur externen Speicherung von 
Daten“. Damit dürfte der Streit um die Reichweite des Gehilfenbegriffs bei 
Personen innerhalb der Sphäre des Berufsgeheimnisträgers in dem Sinn ent- 
schieden sein, dass auch interne EDV-Mitarbeiter als Gehilfen zu qualifizieren 
sind. Dies folgt aus der Tatsache, dass die mitwirkende Person Oberbegriff für 
den Gehilfen ist. Plausibler ist für die Zukunft also ein (intern) weiter Gehil- 
fenbegriff, dem auch (internes) technisches Personal, Verwaltungsmitarbeiter 
und Schreibkräfte unterfallen. Ausreichend ist eine Einbindung „in irgend- 
einer Weise“, #° Reinigungskräfte und Fahrer bleiben aber wohl weiter ausge- 
schlossen; sie sind nicht „in die Organisation der fraglichen Berufspraxis 
selbst“ +7 eingebunden. 


6.2.2.2 Sonstige mitwirkende Personen 


Die sonstige mitwirkende Person muss an der beruflichen oder dienstlichen 
Tätigkeit des Berufsgeheimnisträgers mitwirken. Die Gesetzesbegründung 
definiert die sonstigen mitwirkenden Personen als solche, „die zwar an der 
beruflichen oder dienstlichen Tätigkeit der schweigepflichtigen Person mit- 
wirken, also in diese Tätigkeit in irgendeiner Weise eingebunden werden und 
Beiträge dazu leisten, allerdings ohne in die Sphäre des Berufsgeheimnisträ- 
gers eingegliedert zu sein“. Der wesentliche Unterschied zum Gehilfen ist 
also die fehlende Teilhabe an der Sphäre des Berufsgeheimnisträgers. Dafür, 
wann eine Mitwirkung an der beruflichen oder dienstlichen Tätigkeit des Be- 
rufsgeheimnisträgers vorliegt, gibt auch hier der Beispielkatalog in der Geset- 


471 Kargl, in: Kindhäuser/Neumann/Paeffgen, $ 203 Rn. 38; s. auch Cierniak/Niehaus, in: MüKo StGB, $ 203 
Rn. 124; Weidemann, in: BeckOK StGB, $ 203 Rn. 27. 

472 So Weidemann, in: BeckOK StGB, $ 203 Rn. 27.1; a.A. Cierniak/Niehaus, in: MüKo StGB, $ 203 Rn. 123; Heger, in: 
Lackner/Kühl, $ 203 Rn. 11b. 

473 Heger, in: Lackner/Kühl, $ 203 Rn. 11b. 

474 BT-Drs. 18/11936, 21. 

475 BT-Drs. 18/11936, 22. 

476 BT-Drs. 18/11936, 18, 22. 

477 BT-Drs. 18/11936, 18. 

478 So der Wortlaut von $ 203 Abs. 3 Satz 2 Hs. 1 StGB. 

479 BT-Drs. 18/11936, 22. 
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zesbegründung Anhaltspunkte. Ein externes Schreibbüro kann somit ebenso 
mitwirkende Person sein wie ein Cloud-Anbieter. 


Bezüglich der Grundlage der Mitwirkung heißt es in der Gesetzesbegründung, 
man wolle „keinen möglichen Rechtsgrund, auf dem eine sonstige Mitwir- 
kung beruhen kann, ausschließen“. #° Notwendig sind lediglich die Einbin- 
dung in die berufliche Tätigkeit und das Einvernehmen mit der schweige- 
pflichtigen Person. 


6.3 Forschungstätigkeit eines Arztes als „berufliche Tätigkeit“ 


Fraglich ist nun einerseits, ob die Forschungstätigkeit des Arztes als berufliche 
Tätigkeit zu werten ist, und andererseits, ob die Mitwirkung an der For- 
schungstätigkeit eines Arztes als Mitwirkungshandlung im Sinn des $ 203 StGB 
n.F. verstanden werden kann. 


Nach s ı MBO dienen Ärzte der Gesundheit des einzelnen Menschen und der 
Bevölkerung. ** Ihre Aufgabe istes, „das Leben zu erhalten, die Gesundheit zu 
schützen und wiederherzustellen, Leiden zu lindern, Sterbenden Beistand zu 
leisten und an der Erhaltung der natürlichen Lebensgrundlagen im Hinblick 
auf ihre Bedeutung für die Gesundheit der Menschen mitzuwirken“. 


$15 Abs. 1 Satz ı MBO enthält Vorgaben unter anderem für Ärzte, die Forschung 
mit personenbezogenen Daten durchführen. + Dass die Musterberufsordnung 
in $15 überhaupt Regelungen für die ärztliche Forschung enthält, darf bereits 
als starkes Indiz dafür gelten, dass die Forschungstätigkeit des Arztes als be- 
rufliche Tätigkeit zu werten ist. 


6.3.1 Der Arzt im Universitätskrankenhaus 


Das Bundesverfassungsgericht hat festgestellt, dass die Krankenversorgung 
eine der Universität vom Staat zusätzlich übertragene Aufgabe darstellt: „Ihre 
Übertragung auf die Universität ist zwar durch die medizinische Forschung 
und Lehre begründet und bedingt; sie stellt jedoch eine Zusatzaufgabe dar, 
die in beträchtlichem Maße über den rein wissenschaftlichen Bereich hinaus- 
geht. “183 Das bedeutet, dass bei Hochschullehrern, die Kranke an Universitäts- 
kliniken behandeln, diese Aufgabe neben diejenige tritt, Forschung und Leh- 
re zu betreiben. ** Die Verpflichtung zu Forschung und Lehre ergibt sich aus 


480 BT-Drs. 18/11936, 22f.; s. auch Pohle/Ghaffari, CR 2017, 489 (492). 

481 So auch $ 1 Abs. 1 BÄO. 

482 $15 Abs. 1 Satz 1 MBO: „Ärztinnen und Ärzte, die sich an einem Forschungsvorhaben beteiligen, bei dem ... 
Daten verwendet werden, die sich einem bestimmten Menschen zuordnen lassen ...“. 

483 BVerfG, NIW 1981, 1995 (1996). 

484 Lambrecht/Vollmöller, in: Huster/Kaltenborn, $ 16 Rn. 85. 
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dem Landeshochschulrecht, z.B. aus $ 22 Abs. 2 Satz 2 des Gesetzes für die 
hessischen Universitätskliniken. 


Die wissenschaftliche Forschung gehört damit unzweifelhaft zur beruflichen 
Tätigkeit des Arztes im Universitätskrankenhaus. 


6.3.2 Der Arzt im sonstigen Krankenhaus 


Der Arzt im sonstigen Krankenhaus ist zur Forschung nicht verpflichtet. Die 
Nutzung der im Krankenhaus anfallenden Patientendaten für Forschungs- 
zwecke wird durch die Landeskrankenhausgesetze aber ausdrücklich gestat- 
tet. Auch die Übermittlung an externe Stellen ist in den Landeskranken- 
hausgesetzen geregelt und in der Regel an eine Einwilligung des Patienten 
geknüpft. #% Bezogen auf psychisch kranke Personen enthält das Landesrecht 
entsprechende Regelungen.” 


Die Forschung des Arztes im sonstigen Krankenhaus ist Teil seiner beruflichen 
Tätigkeit. Dabei ist es unerheblich, ob die Forschungstätigkeit vom Arbeitge- 
ber angeordnet wurde oder fakultativ erfolgt. Entscheidend ist nur, dass der 
Arzt „als Arzt“ forscht. Dabei ist zu beachten, dass der Arzt Arzt bleibt, „auch 
wenn er seinen Beruf nicht als selbstständig praktizierender Arzt oder in einem 
herkömmlichen Dienstverhältnis, sondern in spezieller Funktion und Rechts- 
position ausübt“. +#Nicht als Teil der beruflichen Tätigkeit kann lediglich For- 
schung gelten, die eine andersartige Nebentätigkeit darstellt. Davon dürfte 
bezogen auf wissenschaftliche Forschung nur auszugehen sein, wenn der Arzt 
nicht im medizinischen Kontext, also letztlich fachfremd forscht. Ob der Arzt 
parallel zur Forschungstätigkeit auch im Sinn von $ı MBO tätig wird, ist un- 
erheblich. Keine fachfremde Forschung liegt vor, wenn der Arzt als Teil eines 
Forschungsverbundes seine medizinische Expertise in ein Forschungsvorha- 
ben einbringt, dieses Forschungsvorhaben aber seinen fachlichen Schwer- 
punkt außerhalb der Medizin hat. 


6.3.3 Der Arzt in der Arztpraxis 


Auch niedergelassene Ärzte sind wie der Arzt im sonstigen Krankenhaus 
nicht zur Forschung verpflichtet. Dass die Forschungstätigkeit auch des Arz- 
tes in der Arztpraxis zu seiner beruflichen Tätigkeit gehört, ergibt sich impli- 
zit einerseits aus der Tatsache, dass die Verarbeitung personenbezogener 
Daten in der Forschung dem Gebot der ärztlichen Schweigepflicht unter- 


485 S. beispielhaft $ 14 Abs. 1 Saarländisches Krankenhausgesetz; $ 25 Abs. 1 Satz 1 Landeskrankenhausgesetz 
Berlin. 

486 S. z.B. Jandt/Roßnagel, MedR 2013, 17ff. 

487 S. beispielhaft $ 35 Landesgesetz für psychisch kranke Personen Rheinland-Pfalz. 

488 Schelling, in: Spickhoff, $ 1 BÄO, Rn. 7. 
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liegt, *% andererseits aus $ 15 MBO. Auch hier ist entscheidend, dass der Arzt 
„als Arzt“ forscht. #9 


Voraussetzung ist dabei, dass die Forschungstätigkeit fachlich dem Arztberuf 
zugeordnet werden kann. Ein Indiz, dass dies nicht so ist, ist etwa, dass die 
fragliche Tätigkeit klassisch einer anderen Berufsgruppe zugeordnet wird. 
Aufgrund möglicher Überschneidungen ist jedoch stets eine Betrachtung des 
konkreten Einzelfalls erforderlich. In jedem Fall ist ein Konnex zum Themen- 
kreis „Medizin“ erforderlich. Sofern die Forschungstätigkeit einen Bezug zu 
den in $s ı MBO genannten Aufgaben des Arztes hat, darf dieser als gegeben 
gelten. 


6.3.4 Forschung als ärztliche Tätigkeit 


Für die Anerkennung von Forschung als ärztlicher Tätigkeit gibt es im Ergeb- 
nis keine Unterschiede zwischen der Arbeit eines Arztes in einem Universitäts- 
krankenhaus, in einem sonstigen Krankenhaus und in einer Arztpraxis. In 
allen Fällen ist die Forschungstätigkeit des Arztes seiner beruflichen Tätigkeit 
zuzurechnen und deshalb tatbestandlich im Sinn von $ 203 StGB. Entscheidend 
istin allen Fällen, dass der forschende Arzt „als Arzt“ tätig wird. Für diese Be- 
urteilung kann als Richtschnur s ı MBO dienen. In allen Fällen erfährt der 
Arzt ebenso wie bei der Heilbehandlung geheimhaltungsbedürftige Informa- 
tionen über den Patienten und muss diese Geheimnisse bewahren. Wäre dem 
nicht so, entstünde zudem eine Schutzlücke bezogen auf den Schutz von Pa- 
tientendaten, die so nicht gewollt sein kann. 


6.4 Mitwirkung an der Forschungstätigkeit 


Die Mitwirkung an der Forschungstätigkeit eines Arztes ist mithin eine Mit- 
wirkungshandlung im Sinn von $ 203 StGB. +4% 


Die Mitwirkung an der Forschungstätigkeit des Arztes ist breit zu verstehen 
und beinhaltet beispielsweise auch die Auswertung von Datenmassen in ex- 
ternen Rechenzentren. Notwendig ist stets der innere Bezug der Tätigkeit der 
mitwirkenden Person und der Forschungstätigkeit des Arztes. Zudem muss 
es für die Tätigkeit der mitwirkenden Person erforderlich sein, dass diese das 
Geheimnis zur Kenntnis nimmt oder zumindest die Möglichkeit zur Kennt- 
nisnahme erhält. 


489 Bekanntgabe der Bundesärztekammer, DÄBI 1989, A-2843 (A-2844). 

490 Ansonsten gelten die Ausführungen in Kap. 6.3.2. 

491 A.A. wohl Hilgendorf 2004, 93, der einen engen Bezug zur Heiltätigkeit fordert. Nach dieser Ansicht wäre die 
Forschungstätigkeit des Arztes grundsätzlich keine berufliche Tätigkeit im Sinn von $ 203 StGB, da „sich das 
Vertrauen des Patienten in erster Linie auf die Heiltätigkeit“ beziehe. 


239 


II Spezielle datenschutzrechtliche Fragen der Weiternutzung 
von Sozial- und Gesundheitsdaten für die medizinische Forschung 


Liegen diese Voraussetzungen vor, so unterliegt die mitwirkende Person selbst 
der Strafbarkeit nach $ 203 StGB. Besteht bereits aufgrund eines Gesetzes eine 
förmliche Verpflichtung einer Person auf die gewissenhafte Erfüllung ihrer 
Geheimhaltungspflicht bei der Durchführung wissenschaftlicher Forschungs- 
vorhaben, so ist die Person zudem direkt über $ 203 Abs. 2 Satz ı Nr. 6 StGB 
strafbar. Derartige gesetzliche Verpflichtungen finden sich beispielsweise in 
$ 476 und 487 Abs. 4 StPO, aber auch in $ 16 Abs. 7 BStatG. 


6.5 Ergebnis zur Weitergabe von Informationen 
an „mitwirkende Personen“ 


Strafbar macht sich nach $ 203 StGB, wer unbefugt ein fremdes Geheimnis 
offenbart, das ihm als Berufsgeheimnisträger im Sinne von Abs. ı und 2 an- 
vertraut worden oder sonst bekannt geworden ist. Hinsichtlich der Strafbar- 
keit der Offenbarung von Geheimnissen gegenüber externen Fachkräften, die 
Ärzte in ihrer medizinischen Tätigkeit unterstützten, bestand aufgrund zahl- 
reicher Meinungsverschiedenheiten in der strafrechtlichen Fachliteratur und 
fehlender obergerichtlicher Rechtsprechung eine große Rechtsunsicherheit. 
Die Änderung des $ 203 StGB 2017 soll hierzu Rechtsklarheit bringen. 


Mit der Novelle des $ 203 StGB wird der Begriff der „mitwirkenden Person“ neu 
in das Strafgesetzbuch eingeführt. Er ist ein Überbegriff und umfasst einer- 
seits den berufsmäßig tätigen Gehilfen und andererseits die sonstigen mit- 
wirkenden Personen. Wesentliches Unterscheidungsmerkmal zwischen dem 
Gehilfen und der sonstigen mitwirkenden Person ist dabei die fehlende Ein- 
bindungin die Sphäre des Berufsgeheimnisträgers. Eine Offenbarung gegen- 
über mitwirkenden Personen ist nicht strafbar, wenn die Mitwirkung im Rah- 
men der Berufstätigkeit des Arztes erfolgt. 


Die Forschungstätigkeit des Arztes ist als berufliche Tätigkeit im Sinn von $ 203 
StGB zu werten. Entscheidend ist dabei, dass der Arzt „als Arzt“ forscht. Unter- 
schiede zwischen der ärztlichen Tätigkeit in einem Universitätskrankenhaus, 
einem sonstigen Krankenhaus und einer Arztpraxis bestehen im Ergebnis 
nicht. In allen Fällen ist die Forschungstätigkeit des Arztes seiner beruflichen 
Tätigkeit zuzurechnen und deshalb tatbestandlich im Sinn von $ 203 StGB. 
Nicht als Teil der beruflichen Tätigkeit kann lediglich Forschung gelten, die 
eine andersartige Nebentätigkeit darstellt. Davon dürfte nur auszugehen sein, 
wenn der Arzt nicht im medizinischen Kontext forscht. Damit ist die Mitwir- 
kung an der Forschungstätigkeit eines Arztes eine Mitwirkungshandlung im 
Sinn von $ 203 Abs. 3 StGB. Eine Offenbarung von Geheimnissen gegenüber 
der mitwirkenden Person ist nicht strafbar. Die mitwirkende Person unter- 
liegt allerdings selbst dem Straftatbestand des s 203 StGB. 
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Auszug aus dem Pflichtenheft zum Rechtsgutachten zur Nutzung 
von Sozial- und Gesundheitsdaten im SAHRA-Projekt - 
in Auftrag gegeben durch TMF e.V. 


Version 1.0 


1 Einleitung 


Die Vergabe des zu erstellenden Rechtsgutachtens zur „Nutzung von Sozial- 
und Gesundheitsdaten“ erfolgt im Rahmen des vom Bundesministerium für 
Wirtschaft und Energie (BMWi) geförderten Smart-Data-Projekts Smart Ana- 
lysis - Health Research Access (SAHRA). Hauptziel des SAHRA-Projekts ist es, 
Sozialdaten der AOK Nordost über eine hochsichere webbasierte Datenplatt- 
form (SAHRA-Plattform) mit weiteren Datenquellen des Gesundheitswesens 
zu verbinden. Die Datenplattform soll datenschutzkonforme Möglichkeiten 
bieten, Abrechnungs-, Behandlungs-, Struktur- sowie Register- und/oder Stu- 
diendaten aus verschiedenen Quellen zu kombinieren, zu referenzieren und 
zu validieren. Die potenziellen Nutzer der SAHRA-Plattform sollen aus der 
Wissenschaft, der Versorgung und der Industrie stammen. 
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2 Fragenkatalog 


Beschreibung von drei verschiedenen Szenarien: 


1. Die Datennutzung geschieht im Rahmen eines Kooperationsprojekts 
einer gesetzlichen Krankenversicherung mit einer externen Einrich- 
tung. Die Fragestellung für die Datenauswertung wird gemeinsam ent- 
wickelt oder von der externen Einrichtung vorgegeben. Die Sozialdaten 
bleiben in der Einrichtung der gesetzlichen Krankenversicherung und 
werden hier ausgewertet. Lediglich anonyme Auswertungsergebnisse 
werden an den externen Partner übermittelt, es verlassen keine Sozial- 
daten die Einrichtung der gesetzlichen Krankenversicherung. 

2. Auch hier kooperieren eine gesetzliche Krankenversicherung und eine 
externe Einrichtung. Die Sozialdaten werden für ein bestimmtes Vor- 
haben an die externe Einrichtung übermittelt, die diese im Sinne des 
Vorhabens verarbeitet und auswertet. 

3. In diesem Szenario werden Sozialdaten von einer oder mehreren Ein- 
richtungen der gesetzlichen Krankenversicherung zu übergeordneten 
Zwecken (z.B. medizinische Forschung oder übergeordnete Qualitäts- 
sicherungsaspekte) an eine externe Einrichtung (Datenplattform) über- 
mittelt. Die externe Einrichtung wiederum stellt diese Sozialdaten für 
bestimmte Vorhaben Dritten zur Verfügung, entweder in Form einer 
weiteren Übermittlung oder indem anonyme Auswertungsergebnisse zu 
konkreten Fragestellungen herausgegeben werden. 
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I Bewertung der aktuellen Rechtslage nach Sozialgesetzbuch (SGB) I -X und 
weiterer heranzuziehender Gesetze! 


Bitte beantworten Sie zu jedem Szenario folgende Fragen: Beschreiben Sie, 
auf welcher Rechtsgrundlage das jeweilige Szenario umgesetzt werden kann. 
Wenn eine uneingeschränkte Umsetzung auf Basis der aktuellen Rechtslage 
nicht möglich erscheint, gehen Sie bitte auf die bestehenden Einschränkun- 
gen ein. Berücksichtigen Sie bei der Einschätzung auch jeweils die folgenden 
Aspekte: 


LI 


LI 


I.H 


1.IV 


ILV 


LVI 


Bitte beschreiben Sie, zu welchen Zwecken (wissenschaftliche For- 
schung, Planung im Sozialleistungsbereich, Qualitätssicherung) je- 
des Szenario umgesetzt werden darf? 

Bitte gehen Sie für jedes Vorhaben auf die Frage ein, ob eine Einwil- 
ligung der betroffenen Personen nach SGB X oder anderen Gesetzen 
einzuholen ist. Legen Sie die wichtigsten Punkte dar die die Einwil- 
ligungserklärung erfassen muss. Bitte führen Sie aus, in welchen 
Fällen, die Einholung von Einwilligungen für die Datennutzung ent- 
behrlich ist. Gehen Sie bitte auch auf die Frage ein, ob bei Vorliegen 
einer Einwilligung die Herausgabe der Sozialdaten von der gesetzli- 
chen Krankenversicherung verweigert werden kann. 

Bitte legen Sie dar, welche Anforderungen hinsichtlich Trägerschaft 
und Rechtsform an die externe Einrichtung nach Szenario 2 und 3 zu 
stellen sind. 

Gehen Sie bitte auf die Frage ein, ob eine datenschutzrechtliche Ge- 
nehmigung für das jeweilige Szenario erforderlich ist, welche Geneh- 
migungsunterlagen vorzulegen wären und welche datenschutzrecht- 
liche Aufsicht zuständig ist. 

Bitte gehen Sie bei jedem Szenario auf die Frage ein, ob und ggf. unter 
welchen Voraussetzungen dieses mit direkt personenbeziehbaren, 
pseudonymen oder anonymen Daten durchgeführt werden kann und 
welche technisch-organisatorischen Maßnahmen grundsätzlich für 
den Schutz der betroffenen Personen zu ergreifen sind. 

Unter welchen Bedingungen können die Sozialdaten für Auswertun- 
gen in den Szenarien 2 und 3 auch mit weiteren Patientendaten -z.B. 
aus der ambulanten oder stationären Versorgung bzw. aus Studien 
oder Registern - personenbezogen zusammengeführt werden? Be- 
schreiben Sie lediglich die sozialrechtlichen Voraussetzungen und 
Einschränkungen. Die Voraussetzungen und Einschränkungen für 


1 Der Fragenkatalog wurde noch vor dem 25.5.2018 entwickelt und abgestimmt, sodass sich der Begriff der „aktu- 
ellen Rechtslage“ auf den Zeitraum vor der Anwendbarkeit der DSGVO und entsprechender nationaler Gesetze 
bezieht. In dem Gutachtenteil von Prof. Dierks, der sich auf die hier wiedergegebenen Abschnitte I bis III bezieht, 
wurde aufgrund der besseren späteren Lesbarkeit der Bezugsrahmen der Abschnitte I und II umgedreht, so dass 
die Fragen im Abschnitt I vor dem Hintergrund der neuen Rechtslage und die Fragen im Abschnitt Il vor dem 
Hintergrund der Rechtslage vor dem 25.5.2018 beantwortet wurden. 
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LVII 


die Daten, die mit den Sozialdaten zusammengeführt werden, sind 
hier nicht zu berücksichtigen. Gehen Sie bitte auch auf die Frage ein, 
ob und in welcher Weise eine Zusammenführung der Daten mithilfe 
eines Treuhänders bzw. einer Vertrauensstelle zu einer anderen recht- 
lichen Bewertung führt. Bitte prüfen Sie auch, ob sich eine sozial- 
rechtlich begründete behördliche Genehmigung auch auf die Recht- 
mäßigkeit der Verwendung der weiteren Gesundheitsdaten erstreckt. 
Stellen Sie bitte dar, zu welchem Zeitpunkt eine Löschung der für die 
Vorhaben verwendeten Sozialdaten in den Szenarien vorzunehmen 
ist. Bitte gehen Sie dabei auch auf die Frage ein, wie lange die Daten 
zu dem Zweck aufbewahrt werden können, die Nachvollziehbarkeit 
der Auswertungen abzusichern. Im wissenschaftlichen Umfeld gibt 
es hierzu Regelungen, wie z.B. in der Denkschrift der Deutschen For- 
schungsgemeinschaft (DFG) zur Sicherung der guten wissenschaft- 
lichen Praxis, die eine Datenaufbewahrung für 10 Jahre vorschreibt. 
Bitte prüfen Sie dabei auch, ob die Vorschrift des $ 304 SGB V analog/ 
entsprechend auf externe Einrichtungen anzuwenden sein könnte. 


I.VII Stellen Sie bitte dar, unter welchen rechtlichen und technischen Ge- 


1.IX 


I.X 


1.X1 


sichtspunkten ein wirksames Anonymisieren von Sozialdaten einer 
Löschung der Sozialdaten gleichkommen könnte. 

Bitte prüfen Sie abschließend, welchem Rechtsrahmen die übermit- 
telten Sozialdaten bei den externen Einrichtungen in den Szenarien 
2 und 3 unterliegen. Hierbei steht v.a. die Frage im Vordergrund, ob 
und wenn ja, unter welchen Bedingungen, Bestimmungen des SGB 
X und das Sozialgeheimnis nach s 35 SGB I auch für die externe Ein- 
richtung gelten. 

Stellen Sie bitte dar, nach welchen gesetzlichen Vorschriften die ex- 
terne Einrichtung zur Übermittlung von Sozialdaten an weitere So- 
zialleistungsträger (vgl. $$ 18-29 SGB I) nach SGB X, I und V verpflich- 
tet werden kann, wenn hierfür keine Einwilligung des Betroffenen 
vorliegt. Ist der Betroffene vor der Datenübermittlung zu informieren 
bzw. hat er eine Möglichkeit, die Datenweitergabe zu verhindern? 
Gehen Sie bitte bei Szenario 2und 3 auf die Frage ein, ob der gesetzlich 
Versicherte gegenüber der gesetzlichen Krankenversicherung oder der 
externen Einrichtung einen Auskunftsanspruch dahingehend hat, 
ob und in welcher Form seine Daten für weitere Zwecke (z.B. wissen- 
schaftliche Forschung, Planung oder Qualitätssicherung) verwendet 
werden. Stellen Sie bitte dar, welche konkreten Informationen im 
Rahmen des Auskunftsersuchens mitgeteilt werden müssen. Stellen 
Sie bitte auch dar, ob es für die rechtliche Würdigung entscheidend 
ist, ob die Datennutzung der externen Einrichtung auf Grundlage 
einer Einwilligung oder einer gesetzlichen Übermittlungsnorm statt- 
gefunden hat. 
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Il Bewertung der zukünftigen Rechtslage 


II 


H.H 


Bitte werten Sie die für die Beantwortung dieser Fragen relevanten 
Vorschriften der Europäischen Datenschutz-Grundverordnung (EU- 
DSGVO) und die in der Entstehung befindlichen Gesetzentwürfe des 
Bundes zur Anpassung an die EU-DSGVO aus und prüfen Sie, welche 
Änderungen in Bezug auf die vorher beschriebenen drei Szenarien und 
die jeweils in den Fragen genannten Aspekte entstehen. 

Wie bewerten Sie die Konformität der aktuell vorliegenden Gesetzent- 
würfe mit den Vorgaben der EU-DSGVO? Sehen Sie Risiken, dass vor 
diesem Hintergrund weitere gesetzliche Anpassungen notwendig 
werden, die Auswirkungen auf die oben beschriebenen Szenarien ha- 
ben werden? 


IIl Über die aktuellen Gesetzesentwürfe hinausgehende Reformüberlegungen 


Bei den folgenden Fragestellungen berücksichtigen Sie bitte auch, welche we- 
sentlichen Grundsätze aus der EU-DSGVO, dem europäischen und deutschen 
Verfassungsrecht zu beachten sind. 


HI.I 


M.I 
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Wie müsste eine Rechtsgrundlage gestaltet sein, die die Errichtung 
und Nutzung einer (von den gesetzlichen Krankenversicherungen un- 
abhängigen) Datenplattform ermöglicht, auf der unterschiedliche 
Sozial- und Gesundheitsdatensätze extern gespeichert werden (vgl. 
Szenario 3)? Eine solche Plattform sollte für Zwecke der wissenschaft- 
lichen Forschung, Planung im Sozialleistungsbereich und Qualitäts- 
sicherung offen sein. Dies schließt auch eine langfristige Speicherung 
der Daten ein, die eine Nachvollziehbarkeit der Auswertungen für 
übliche Zeiträume (in der Forschung z.B. 10 Jahre) ermöglicht. Um 
repräsentative Auswertungen zu ermöglichen, sollte die Einholung 
von Einwilligungen der betroffenen Personen verzichtbar sein. Mit 
welchen technisch-organisatorischen oder sonstigen Maßnahmen 
kann sichergestellt werden, dass ein fairer Ausgleich zwischen dem 
Grundrecht auf informationelle Selbstbestimmung der betroffenen 
Personen und dem Grundrecht auf Forschungsfreiheit bzw. anderen 
gesellschaftlichen Interessen sichergestellt wird? 

Wie könnte eine gesetzliche Grundlage aussehen, die es dem Betrof- 
fenen ermöglicht, auch eine Einwilligung mit einer breiteren Zweck- 
bestimmung (z.B. medizinische Forschung) rechtswirksam abzuge- 
ben? Gehen Sie bitte dabei auch darauf ein, inwieweit Aufsichtsbe- 
hörden und gesetzliche Krankenversicherungen an den Inhalt der 
abgegebenen Einwilligungserklärung der betroffenen Person gebun- 
den sind. Prüfen Sie bitte auch, ob eine solche Einwilligung auch für 
künftig erhobene Sozialdaten gelten kann, oder ob es rechtlich erfor- 
derlich erscheint, die Einwilligungserklärung in Bezug auf Sozial- 
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daten nach Ablauf einer bestimmten Zeit erneut einzuholen (z.B. 
nach fünf Jahren), oder ob sie auch mit einer breiten Zweckbestim- 
mung auch für einen längeren Zeitraum (z.B. 10-20 Jahre bzw. bis zum 
Tod des Versicherten) gelten kann. Gibt es Ihrer Auffassung nach bei 
solchen „breiten Einwilligungserklärungen“ besondere Informations- 
rechte des Betroffenen? 


IV Weitergehende Fragen zu den rechtlichen Grundlagen des Datenschutzes? 


Bitte bewerten Sie im Folgenden die zukünftige Rechtslage nach EU-DSGVO 
und EU-Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) und 
stellen Sie in Bezug auf das Umsetzungsgesetz jeweils dar, ob aus Ihrer Sicht 
die Vorgaben aus dem europäischen/deutschen Verfassungsrecht bzw. aus der 
EU-DSGVO eingehalten wurden: 


IV.I Vergleichen Sie bitte den Pseudonymisierungsbegriff aus den bishe- 
rigen Vorschriften des Bundesdatenschutzgesetzes (BDSG) mit jenen 
aus der EU-Datenschutzgrundverordnung. Sind diese gleichbedeu- 
tend oder ergeben sich unterschiedliche Anforderungen an den Pseu- 
donymisierungsprozess? Gehen Sie in Bezug auf die bisherige Rechts- 
lage bei der Nutzung pseudonymer Daten auch auf das Urteil des Euro- 
päischen Gerichtshofs (EuGH) vom 19.10.2016 (Patrick Breyer gegen 
Bundesrepublik Deutschland, Aktz. C - 582/14) ein. Von Interesse ist 
hier, ob die EU-DSGVO eher das Konzept eines „absoluten“ oder eines 
„relativen Personenbezugs“ unterstützt. 

IV.II Gehen Sie bitte auf den Begriff der „wissenschaftlichen Forschungs- 
zwecke“ (nach Erwägungsgrund 159 der EU-DSGVO) ein und beschrei- 
ben Sie, ob die Inhalte dieses Erwägungsgrundes zu einer anderen 
Interpretation des Begriffs „wissenschaftliche Forschung“ führen, als 
dies bisher der Fall war. Insbesondere bitten wir um einen Vergleich 
zu der Rechtsauffassung von Herrn Dr. Schneider auf Seite 97/98 
(TMF-Veröffentlichung: U.K. Schneider, Sekundärnutzung klinischer 
Daten - Rechtliche Rahmenbedingungen, Band 12). 

IV.III Bitte vergleichen Sie die bisherige Definition des Anonymisierens 
nach BDSG mit dem Erwägungsgrund 26 der EU-DSGVO und führen 
Sie aus, wo aus Ihrer Sicht Unterschiede im Vergleich zur bisherigen 
Rechtslage bei der Nutzung anonymer Daten für die wissenschaftliche 
Forschung bestehen. 

IV.IV Kann eine wirksame Anonymisierung von Daten als Umsetzung der 
Löschpflicht nach Art. 17 Abs. ı EU-DSGVO angesehen werden? Gehen 
Sie bitte auch darauf ein, ob eine wirksame Anonymisierung ausrei- 


2 Die Fragen aus diesem Abschnitt IV werden von dem Gutachtenteil von Prof. Roßnagel im vorliegenden Band 
beantwortet. 
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IVV 


chend ist, wenn die Löschungim Rahmen einer Einwilligung verein- 
bart wurde. 

Der Bundesrat hat in seinem Beschluss zum DSAnpUG-EU (vgl. Ziff. 
27 Lit. d), BR-Drucksache 110/17 v. 10.03.2017) für die Behandlung im 
weiteren Gesetzgebungsverfahren die Frage aufgeworfen, inwieweit 
ein Ausschluss der Auskunftserteilung neben den in $ 27 BDSG-E ge- 
nannten Voraussetzungen nach objektiven Kriterien auch aus thera- 
peutischen sowie ethischen Erwägungsgründen zum Wohl der be- 
troffenen Person möglich sein sollte. Prüfen Sie bitte, auf welcher 
verfassungs- und europarechtlichen Grundlage solche Ausnahmen 
von den Auskunftsrechten für wissenschaftliche Forschungsvorhaben 
vorgenommen werden können. 


IV.VI Nach dem Entwurf eines Gesetzes zur Neuregelung des Schutzes von 
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Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung 
schweigepflichtiger Personen (BR-Drucksache 163/17) soll $ 203 
Straf-Gesetzbuch (StGB) in der Form geändert werden, dass die Wei- 
tergabe von Informationen an „mitwirkende Personen“ für einen Be- 
rufsgeheimnisträger (z.B. Arzt) straflos sein soll, wenn diese an der 
„beruflichen Tätigkeit“ des Berufsgeheimnisträgers mitwirken. Prü- 
fen Sie bitte, ob eine Mitwirkung an einer Forschungstätigkeit eines 
Arztes auch als Mitwirkungshandlung im Sinne der neuen Rechtsvor- 
schrift verstanden werden kann. Gehen Sie bitte darauf ein, wie die 
„berufliche Tätigkeit“ eines Arztes auch mit Blick auf die EU-DSGVO 
und den bisherigen Rechtsrahmen definiert wird und ob Unterschie- 
de zwischen der ärztlichen Tätigkeit in einem Universitätskranken- 
haus/sonstigem Krankenhaus und einer Arztpraxis bestehen. 


TMF - Forscher vernetzen 
Lösungen bereitstellen 
Doppelarbeit vermeiden 


TMF - Forscher vernetzen Lösungen bereitstellen Doppelarbeit vermeiden 


Die TMF sorgt für Qualitäts- und Effizienzsteigerung in der medizinischen Forschung 


Die moderne medizinische Forschung steht vor zunehmend komplexen Her- 
ausforderungen, für deren Lösung sich die Akteure aus Grundlagenforschung, 
klinischer Forschung, Versorgungseinrichtungen, Industrie und weiteren 
Partnern miteinander vernetzen und gemeinsame Strategien entwickeln müs- 
sen. Ein zentraler Ansatz ist die Effizienzsteigerung auf allen Ebenen der me- 
dizinischen Forschungs- und Entwicklungskette, um - bei gesicherter Quali- 
tät - Forschungsergebnisse auf schnellstem Wege in die Patientenversorgung 
zu übertragen und damit zu einem effizienten und leistungsfähigen Gesund- 
heitswesen beizutragen. Im Sinne einer Qualitätssteigerung und der Entwick- 
lung hin zu einer zunehmend personalisierten oder Präzisionsmedizin spielt 
die Zusammenführung von Daten aus verschiedenen Quellen und die Ver- 
knüpfung mit Bioproben eine immer wichtigere Rolle. 


Die Bundesregierung unterstützt diesen Prozess unter anderem im Rahmen 
des Gesundheitsforschungsprogramms und fördert seit mehr als zehn Jahren 
konsequent die medizinische Verbundforschung. Erfolgreiche Beispiele sind 
die herausragenden Ergebnisse aus den Kompetenznetzen in der Medizin oder 
den Koordinierungszentren für Klinische Studien. Aufbauend auf diesen Er- 
fahrungen sind in den vergangenen Jahren neue Verbundprojekte und -ein- 
richtungen initiiert worden, die immer mehr Partner miteinander vernetzen. 
Dazu gehören nicht zuletzt die Deutschen Zentren der Gesundheitsforschung, 
die Nationale Kohorte oder die zentralisierten Biobanken, die an Universitäts- 
kliniken in Deutschland aufgebaut und übergreifend vernetzt werden. Neben 
diesen Großprojekten verfolgen auch zahlreiche weitere Einrichtungen und 
Projekte ähnliche Ziele. 


In der TMF - Technologie- und Methodenplattform für die vernetzte medizi- 
nische Forschung (kurz: TMF) arbeiten sie zusammen, um gemeinsam und 
disziplinübergreifend die Herausforderungen zu lösen, die sich beim Aufbau 
der notwendigen Forschungs- und Dateninfrastrukturen in technischer, recht- 
lich-ethischer, organisatorischer sowie auch kommunikativer Hinsicht stel- 
len. Sie übernimmt damit eine wesentliche nationale Aufgabe zur Qualitäts- 
und Effizienzsteigerung für die Forschung. Die TMF wird vom Bundesminis- 
terium für Bildung und Forschung (BMBF) sowie in zunehmendem Maße auch 
von der Deutschen Forschungsgemeinschaft (DFG) gefördert. 


Im November 2015 hat das BMBF das Förderkonzept Medizininformatik initi- 
iert. Ziel der Medizininformatik-Initiative ist die Verbesserung von For- 
schungsmöglichkeiten und der Patientenversorgung durch IT-Lösungen. Die- 
se sollen den Austausch und die Nutzung von Daten aus Krankenversorgung, 
klinischer und biomedizinischer Forschung über die Grenzen von Institutio- 
nen und Standorten hinweg ermöglichen. Die übergreifende Zusammenarbeit 
wird von einer Begleitstruktur unterstützt, die gemeinsam von derTMF, dem 
Medizinischen Fakultätentag (MFT) und dem Verband der Universitätsklinika 
Deutschlands (VUD) betrieben wird. 
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Ziele und Aufgaben 


Als Dachorganisation für die medizinische Verbundforschung verfolgt die 
TMF das Ziel, die organisatorischen, rechtlichen-ethischen und technolo- 
gischen Voraussetzungen für die klinische, epidemiologische und translatio- 
nale Forschung zu verbessern. Sie hat die Aufgabe, die wissenschaftliche 
Arbeit der modernen medizinischen Forschung, die heutzutage überwiegend 
in kooperativen Projekten mit mehreren beteiligten Standorten stattfindet, zu 
unterstützen. Dazu stellt sie - öffentlich und gemeinfrei, also für jeden For- 
scher nutzbar - Gutachten, generische Konzepte, Leitfäden und IT-Anwen- 
dungen ebenso wie Schulungs- und Beratungsangebote bereit. Der über- 
wiegende Teil der Produkte steht unter www.tmf-ev.de sowie www.toolpool- 
gesundheitsforschung.de zum Download zur Verfügung. Ausgewählte Ergeb- 
nisse werden in der Schriftenreihe der TMF publiziert. 


Die Produkte werden - von der Forschung für die Forschung - von den Fachex- 
perten der Mitgliedsverbünde entwickelt, die in den interdisziplinären Arbeits- 
gruppen der TMF zusammenkommen. Als Grundmuster und Leitmotiv der ge- 
meinsamen Arbeit in den Arbeitsgruppen gilt der Anspruch, gemeinsame Pro- 
bleme gemeinsam zu lösen, von vorhandenen Erfahrungen gegenseitig zu pro- 
fitieren, Doppelarbeit zu vermeiden sowie professionelle Lösungen zu erarbeiten, 
zu diesen einen Konsens in der Forschergemeinschaft herzustellen und ihre 
konsequente Nutzung und langfristige Verfügbarkeit zu gewährleisten. 


Geschichte 


Die TMF wurde 1999 unter dem Namen „Telematikplattform für Medizinische 
Forschungsnetze“ als Förderprojekt des BMBF gegründet. Mit dem Ziel, die 
Struktur zu verstetigen und die gemeinsame Querschnittseinrichtung der 
medizinischen Verbundforschung noch stärker in die Hände der Forscher 
selbst zu legen, wurde 2003 der TMF e.V. gegründet. Seither ist die Zahl der 
Mitgliedsverbünde stark angewachsen. Damit zusammenhängend hat sich 
auch das thematische Spektrum der TMF verbreitert, die zunächst primär auf 
Fragen der IT-Infrastruktur ausgerichtet war. Die Themen reichen heute von 
rechtlichen und ethischen Rahmenbedingungen und Fragen der IT-Infrastruk- 
tur über Qualitätsmanagement und Standards für klinische Studien sowie den 
Themenkomplex Biobanken und molekulare Medizin bis hin zum Problem der 
Verzahnung von Forschung und Versorgung oder Fragen der Verbundkoordi- 
nation und der Wissenschaftskommunikation. 


2010 beschloss die Mitgliederversammlung eine Umbenennung der TMF, da 
der Begriff „Telematikplattform“ diesem breiten Spektrum nicht mehr gerecht 
wurde. Der seither geführte Name „TMF - Technologie- und Methodenplatt- 
form für die vernetzte medizinische Forschung e.V.“ erfasst die Aufgaben und 
Themen der TMF auf spezifischere Weise. 
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Mitglieder 


Mitglieder der TMF sind überregionale medizinische Forschungsverbünde, 
vernetzt arbeitende universitäre und außeruniversitäre Forschungsinstitute, 
Methodenzentren, regionale Verbundprojekte sowie kooperative Studiengrup- 
pen. Dazu gehören unter anderem 


die Deutschen Zentren der Gesundheitsforschung, 

die Nationale Kohorte, 

Kompetenznetze in der Medizin, 

Koordinierungszentren bzw. Zentren für Klinische Studien (KKS/ZKS), 
Integrierte Forschungs- und Behandlungszentren, 

Netzwerke für Seltene Erkrankungen, 

die Fraunhofer-Gesellschaft (mit dem Fraunhofer ITEM als direktem Mit- 
glied), 

Zoonosen-Forschungsverbünde, 

zentralisierte Biomaterialbanken (Nationale Biobanken-Initiative) 
Universitätsinstitute, 

Patientenorganisationen 

und zahlreiche weitere. 


Über Mitgliedsverbünde sind bundesweit alle Universitätsklinika und zahl- 
reiche außeruniversitäre Forschungsstandorte in unterschiedlicher Weise in 
die TMF eingebunden. Mit Kooperationspartnerschaften sorgt die TMF auch 
darüber hinaus für eine Einbindung der relevanten Institutionen im Gesund- 
heitswesen. 


Themen und Arbeitsweise 


Die durch die Forschungsverbünde und -einrichtungen gemeinsam zu be- 
arbeitenden Querschnittsaufgaben gehen weit über Fragen von Informations- 
und Kommunikationstechnologie im technischen Sinne hinaus. Die Wissen- 
schaftler in den Forschungsprojekten brauchen Unterstützung und Erfah- 
rungsaustausch in großer Breite: 


= zu Fragen der konkreten Umsetzung von Datenschutz und ethischen 
Richtlinien, 

= zum Aufbau von Forschungsinfrastrukturen wie Datenbanken für For- 
schungsregister und Biobanken, 

= zur strategischen Nutzung von Informationstechnologie für die Prozess- 
unterstützung wie für die wissenschaftliche Auswertung, 

= zu Rechtsfragen in vielerlei Hinsicht, beispielsweise zum Vertragsrecht 
innerhalb von Netzwerken, zu Patienteneinwilligungen oder zu Verwer- 
tungsfragen, 

= zu Fragen der Organisation und des Managements von Forschungsnet- 
zen und ihren Projekten sowie 
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= zunehmend auch zu Fragen der Kommunikation, der Finanzierungund 
der Nachhaltigkeit von mit öffentlichen Geldern aufgebauten Netzwerk- 
strukturen. 


Alle diese Fragen werden kontinuierlich in den Arbeitsgruppen der TMF 
bearbeitet, in denen sich die jeweiligen Fachleute aus den verschiedenen 
Projekten und Forschungsstandorten interdisziplinär zusammenfinden. Da- 
bei entstehen strategische Anstöße und Impulse für die Forschungsinfrastruk- 
tur, vor allem aber konkrete Hilfen, Produkte und Services für den Forscher. 
Regelmäßig tagen einzelne Arbeitsgruppen auch gemeinsam, um auf diese 
Weise themenübergreifende Aspekte besser aufnehmen und Doppelaktivitä- 
ten der Arbeitsgruppen vermeiden zu können. 


Arbeitsgruppen 


Die Arbeitsgruppen initiieren Projekte und betreuen sie im Verlauf - bis hin zur 
Implementierung der Ergebnisse und zur Beratung von Forschungsprojekten 
auf dieser Basis. Neue Projektvorschläge durchlaufen ein mehrstufiges Aus- 
wahlverfahren - von der fachlichen Prüfung und Schärfung in den Arbeitsgrup- 
pen über Beratung in der Geschäftsstelle bis hin zur Begutachtung durch den 
Vorstand. Mit diesem Vorgehen wird sichergestellt, dass die in den Projekten 
adressierten Probleme für die Forschergemeinschaft relevant sind und dass die 
angestrebte Lösung einen breiten Konsens für die spätere Anwendung findet. 


Arbeitsgruppen können in der TMF je nach aktuellem Bedarf neu eingerichtet, 
zusammengelegt oder auch aufgelöst werden, wenn ein Thema keine hohe 
Relevanz mehr hat. Derzeit gibt es neun Arbeitsgruppen: 


= Arbeitsgruppe Biomaterialbanken 

= Arbeitsgruppe Datenschutz 

= Arbeitsgruppe IT-Infrastruktur und Qualitätsmanagement 

= Arbeitsgruppe Management klinischer Studien 

= Arbeitsgruppe Medizintechnik 

= Arbeitsgruppe Medizinische Bioinformatik und Systemmedizin 
= Arbeitsgruppe Netzwerkkoordination 

= Arbeitsgruppe Wissenschaftskommunikation 

= Arbeitsgruppe Zoonosen und Infektionsforschung 


Der interdisziplinäre Austausch wird über die Arbeitsgruppen hinaus durch 
zahlreiche Symposien und Workshops, durch den TMF-Jahreskongress sowie 
durch Foren - aktuell insbesondere zum Thema Versorgungsforschung - er- 
gänzt. Ferner unterstützt die TMF im Begleitprojekt zur BMBF-Fördermaß- 
nahme zum Aufbau modellhafter Register für die Versorgungsforschung ge- 
meinsam mit dem Deutschen Netzwerk für Versorgungsforschung (DNVF) 
aktuell die geförderten Register insbesondere im Bereich Qualitätsmanage- 
ment, Aufbau von IT-Infrastrukturen und Erarbeitung geeigneter Daten- 
schutzkonzepte. 
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Lösungen stehen frei zur Verfügung 


Die TMF stellt Gutachten, generische Konzepte, Leitfäden und IT-Anwendun- 
gen ebenso bereit, wie sie Schulungs- und Beratungsservices der Arbeitsgrup- 
pen, auch in Form von Einzelberatungen, anbietet. Die Ergebnisse der Arbeit 
in der TMF stehen öffentlich und gemeinfrei zur Verfügung. 

Mit diesem offenen Ansatz verfolgt die TMF das Ziel, 


= methodisches Know-how und Infrastrukturen für die vernetzte medizi- 
nische Forschung breit verfügbar zu machen, 

= die Harmonisierung, die Interoperabilität und das Qualitätsmanage- 
mentin der vernetzten medizinischen Forschung durch entsprechende 
Infrastruktur, Leitfäden und Services zu stärken, 

= dieKollaboration in der deutschen medizinischen Forschung sowie deut- 
sche Forscher in internationalen Kooperationen zu stärken, 

= die Verstetigung und Nachhaltigkeit akademischer medizinischer For- 
schungsprojekte zu unterstützen und 

= einen Beitrag zu sinnvollem Mitteleinsatz in der öffentlich geförderten 
medizinischen Forschung zu leisten, indem sie Doppelentwicklungen 
zu vermeiden hilft und die Wiederverwendung vorhandener Lösungen 
organisiert. 


Mit ihren Lösungen adressiert die TMF vor allem die nicht-kommerzielle, aka- 
demische - universitäre wie außeruniversitäre - Forschung in Deutschland. 
Unabhängig davon ist aber auch ein steigendes Interesse an den Angeboten 
aus der Industrie zu verzeichnen. Viele Lösungen der TMF sind zudem auch 
für das Ausland, insbesondere die deutschsprachigen Länder, relevant und 
werden in dortigen Forschungseinrichtungen bereits genutzt. 


Alle Download-geeigneten Produkte und Ergebnisse stehen auf der TMF-Web- 
site zur Verfügung. Einzelne Software-Werkzeuge sind sehr komplex und be- 
dürfen einer individuellen Anpassung und Erläuterung, so dass sie nur über 
den direkten Kontakt zur TMF-Geschäftsstelle erhältlich sind, die dann auch 
für die Betreuung bei der Implementierung und Nutzung des Produktes sorgt. 
Darüber hinaus fließen die Ergebnisse kontinuierlich auch in die Diskussio- 
nen in den Arbeits- und Projektgruppen ein, und sie werden in konkreten Be- 
ratungsgesprächen sowie in Schulungs- und Informationsveranstaltungen 
vermittelt. 


TMF-Schriftenreihe 


Wichtige Konzepte, Leitfäden und Hilfstexte veröffentlicht die TMF in ihrer 
Schriftenreihe, die sie seit mehreren Jahren bei der Medizinisch Wissenschaft- 
lichen Verlagsgesellschaft herausgibt. So erschienen 2006 als erster Band die 
generischen Lösungen zum Datenschutz für die Forschungsnetze in Buchform 
(Reng et al.: Generische Lösungen zum Datenschutz für die Forschungsnetze 
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in der Medizin, Berlin 2006 - Bd. ı). In der Zwischenzeit sind diese Konzepte 
einer grundlegenden Revision unterzogen und erneut mit den Bundes- und 
Landesdatenschützern abgestimmt worden. Die überarbeiteten Konzepte sind 
als Band 11 der TMF-Schriftenreihe für einen breiten Nutzerkreis verfügbar 
gemacht worden (Pommerening et al.: Leitfaden zum Datenschutz in medi- 
zinischen Forschungsprojekten, Berlin 2014 - Bd. 11). 


2015 erschien als Band 12 das Rechtsgutachten zur Sekundärnutzung klinischer 
Daten in Buchform. Forschung und Qualitätssicherung in der Medizin greifen 
zunehmend auf Daten aus der Versorgung zurück. Die rechtlichen Grundlagen 
hierfür sind jedoch sehr komplex und können sich unter anderem nach Stand- 
ort und Trägerschaft der Einrichtung sowie nach dem Forschungszweck deut- 
lich unterscheiden. Das Rechtsgutachten, das um ein Online-Suchwerkzeug 
ergänzt wurde, bietet hier eine Hilfestellung, mit der die jeweils relevanten 
rechtlichen Vorschriften schnell gefunden werden können. 


Bereits 2006 erschien ein Rechtsgutachten zum Aufbau und Betrieb von Bio- 
materialbanken (Simon et al.: Biomaterialbanken - Rechtliche Rahmenbe- 
dingungen, Berlin 2006 - Bd. 2), das im Februar 2008 um einen weiteren Band 
zum Thema Qualitätssicherung von Biobanken ergänzt wurde (Kiehntopf/ 
Böer: Biomaterialbanken - Checkliste zur Qualitätssicherung, Berlin 2008 - 
Bd. 5). Das Datenschutzkonzept, das ursprünglich als Band 6 der Schriften- 
reihe publiziert werden sollte, ist in die vorliegende Publikation der neuen 
Datenschutzkonzepte integriert worden. 


Mit der Checkliste zur Patienteneinwilligung legte die TMF Ende 2006 ein Re- 
ferenzwerk vor, das den Anwendern ermöglicht, auf der Basis von relevanten, 
dokumentierten und kommentierten Quellen Patienteninformationen und 
Einwilligungserklärungen für klinische Studien zu erstellen, die den regula- 
torischen Anforderungen entsprechen (Harnischmacher et al.: Checkliste und 
Leitfaden zur Patienteneinwilligung, Berlin 2006 - Bd. 3). Wie die meisten 
anderen Buchpublikationen auch, wird dieser Band durch weitere online ver- 
fügbare Materialien (z.B. Musterverträge) oder Services ergänzt. 


2007 erschien die erste Auflage der Leitlinie zur Datenqualität in der medizi- 
nischen Forschung, die 2014 in einer aktualisierten und ergänzten Fassung 
neu aufgelegt worden ist. Die Leitlinie (Nonnemacher et al.: Datenqualität in 
der medizinischen Forschung, Berlin 2014 - Bd. 4) enthält Empfehlungen zum 
Management von Datenqualität in Registern, Kohortenstudien und Data Re- 
positories. 


Ein Rechtsgutachten zum Problemfeld der Verwertungsrechte in der medizi- 
nischen Forschung (CGoebel/Scheller: Verwertungsrechte in der medizinischen 
Forschung, Berlin 2008 - Bd. 7) erschien 2008 als erste Veröffentlichung einer 
Reihe von Rechtsgutachten, die die TMF zu verschiedenen Fragen erstellen 
ließ, unter anderem zum Thema „elektronische Archivierung von Studien- 
unterlagen“. Die Publikation dieser weiteren Rechtsgutachten in der 
TMF-Schriftenreihe wird sukzessive folgen. 
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Mit Band 8 (Mildner [Hısg.]: Regulatorische Anforderungen an Medizinpro- 
dukte, Berlin 2011 - Bd. 8) hat die TMF 2011 erneut die Aufarbeitung eines im 
Umbruch befindlichen Feldes vorgelegt. Das Buch bietet eine Einführung in 
den regulatorischen Prozess bei der Entwicklung von Medizinprodukten und 
stellt Handlungshilfen bereit. Dabei wird der gesamte Bereich von der klini- 
schen Bewertung bis zum Health Technology Assessment abgedeckt. 


Praktische Empfehlungen für die Verarbeitung und Analyse von Daten, die 
bei der Hochdurchsatz-Genotypisierung anfallen, gibt Band 9 (Krawczak/Freu- 
digmann [Hrsg.|: Qualitätsmanagement von Hochdurchsatz-Genotypisie- 
rungsdaten, Berlin 2011 - Bd. 9), der ebenfalls 2011 publiziert werden konnte. 
Dabei reichen die behandelten Fragen von Problemen der Validität und Plau- 
sibilität über die Erkennung und Vermeidung von Fehlern bis hin zu Anforde- 
rungen an Datenhaltung und Datentransfer. 


An die TMF-Ergebnisse im Bereich Datenschutz und Patienteneinwilligung 
knüpft der 2012 erschienene Band 10 an (Goebel/Scheller: Einwilligungserklä- 
rung und Forschungsinformation zur Gewinnung tierischer Proben, Berlin 
2012-Bd. 10). Die Ergebnisse sind im Auftrag der Nationalen Forschungsplatt- 
form für Zoonosen erarbeitet worden. Sie dienen dazu, Forschenden Rechts- 
sicherheit bei der Entnahme und Bearbeitung von Tierproben zu geben und 
sie bei der Erstellung der relevanten Einwilligungsunterlagen zu unterstützen. 


Mit dem Sammelband zu Terminologien und Ordnungssystemen in der Me- 
dizin, der 2015 als Band 13 der Schriftenreihe erschien, hat die TMF eine aktu- 
elle Bestandsaufnahme vorgelegt, die den aktuellen Stand der Nutzung me- 
dizinischer Terminologien zusammenfasst und Empfehlungen gibt, um einen 
internationalen Austausch von Informationen in der Medizin zu gewähr- 
leisten. 


Band 14 mit dem Titel „Gesundheitsforschung kommunizieren, Stakeholder 
Engagement gestalten“ legt den Fokus auf einen Aspekt, dessen Bedeutung 
in der wissenschaftlichen Community erst in der jüngeren Zeit zunehmend 
anerkannt und beachtet wird. Dies geht einher mit einer zunehmenden Pro- 
fessionalisierung in der Arbeit der Kommunikationsverantwortlichen, zu der 
das Buch einen Beitrag leisten möchte. 


Band 16 bewertet die aktuellen Möglichkeiten für den Einsatz von Big Data 
im Gesundheitswesen und zeigt gleichzeitig Hürden und Risiken auf. Daraus 
abgeleitet werden Handlungsempfehlungen für eine bessere Nutzung von 
Gesundheitsdaten für die Patientenversorgung gegeben. Diese wurden in 
einem Workshop mit Akteuren aus den Bereichen Gesundheitsversorgung, 
klinische Forschung, Datenschutz, Data Science, Statistik, Industrie und Poli- 
tik erarbeitet. 


Der vorliegende Band 17 bietet einen Überblick über den aktuellen Rechtsrah- 
men zur Nutzung von Sozial- und Gesundheitsdaten für die Forschung. 
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Weitere Informationen und Kontakt 


TMF - Technologie- und Methodenplattform 
für die vernetzte medizinische Forschung e.V. 
Charlottenstraße 42/Ecke Dorotheenstraße 
10117 Berlin 

Tel.: 030 - 22 00 24 7-0 

Fax: 030 - 22 00 24 7-99 

E-Mail: info@tmf-ev.de 

Internet: www.tmf-ev.de 
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Zur Schriftenreihe der TMF - Technologie- und Methodenplattform für die vernetzte 


medizinische Forschung e.V. 


In der TMF - Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. arbeiten Netzwerke 
und vernetzt arbeitende Einrichtungen gemeinsam daran, die Fragestellungen und Herausforderungen von medizini- 
scher Forschung an verteilten Standorten zu lösen, ihre Erfahrungen zu bündeln und damit zu mehr Transparenz und 
Effizienz im Gesundheitswesen beizutragen. Durch den Community-Ansatz erfahren die Ergebnisse der TMF eine breite 
inhaltliche Abstimmung in der medizinischen und medizininformatisch-biometrischen Fachwelt. Mit ihrer Schriften- 
reihe macht die TMF die Lösungen einer breiteren Leserschaft zugänglich. 


Bisher in der Schriftenreihe erschienen: 


Band 1: 

Generische Lösungen zum Datenschutz 

für die Forschungsnetze in der Medizin 

von Carl-Michael Reng | Peter Debold 

Christof Specker | Klaus Pommerening 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006 


Band 2: 

Biomaterialbanken - Rechtliche Rahmenbedingungen 

von Jürgen Simon | Rainer Paslack | Jürgen Robienski 

Jürgen W. Goebel | Michael Krawczak 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006 


Band 3: 

Checkliste und Leitfaden zur Patienteneinwilligung 
Grundlagen und Anleitung für die klinische Forschung 

von Urs Harnischmacher | Peter Ihle | Bettina Berger 

Jürgen Goebel | Jürgen Scheller 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006 


Band 4: 

Datenqualität in der medizinischen Forschung 

von Michael Nonnemacher | Dorothea Weiland 

Jürgen Stausberg 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2007 


Band 4, 2. Auflage: 

Datenqualität in der medizinischen Forschung 

von Michael Nonnemacher | Daniel Nasseh | Jürgen Stausberg 
MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2014 


Band 5: 

Biomaterialbanken - 

Checkliste zur Qualitätssicherung 

von Michael Kiehntopf | Klas Böer 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2008 


Band 7: 

Verwertungsrechte in der vernetzten 

medizinischen Forschung 

von Jürgen W. Goebel | Jürgen Scheller 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2009 


Band 8: 

Regulatorische Anforderungen an Medizinprodukte 

von Kurt Becker | Sandra Börger | Horst Frankenberger 
Dagmar Lühmann | Thomas Norgall 

Christian Ohmann | Annika Ranke | Reinhard Vonthein 

Andreas Ziegler | Andreas Zimolong 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2011 


Band 9: 

Qualitätsmanagement von Hochdurchsatz- 
Genotypisierungsdaten 

von Michael Krawczak | Mathias Freudigmann (Hrsg.) 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2011 


Band 10: 

Einwilligungserklärung und Forschungsinformation 

zur Gewinnung tierischer Proben 

von Jürgen W. Goebel | Jürgen Scheller 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2012 


Band 11: 

Leitfaden zum Datenschutz in 

medizinischen Forschungsprojekten 

von Klaus Pommerening | Johannes Drepper 

Krister Helbing | Thomas Ganslandt 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2014 


Band 12: 

Sekundärnutzung klinischer Daten - 

Rechtliche Rahmenbedingungen 

von Uwe K. Schneider 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2015 


Band 13: 

Terminologien und Ordnungssysteme in der Medizin 

von Otto Rienhoff | Sebastian C. Semler (Hrsg.) 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2015 


Band 14: 

Gesundheitsforschung kommunizieren, Stakeholder 
Engagement gestalten 

von Wiebke Lesch | Antje Schütt (Hrsg.) 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2016 


Band 16: 

Big Data im deutschen Gesundheitswesen - 
Handlungsempfehlungen 

von Sebastian C. Semler | Karoline Buckow (Hrsg.) 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2019 


